
<div>Hello,</div>

<div>sorry for the top quoting but i'm using a webmail for replying</div>

<div> which is really crap.</div>

<div> </div>

<div>accordingly i'm posting here the debug log of a radtest.</div>

<div>the authentication gets rejected because the group matches in the raddb/users with the following expression:</div>

<div> </div>

<div>DEFAULT Ldap-Group == "fax", Auth-Type := Reject</div>

<div> </div>

<div>i've tried commenting it out and adding this to mysql in the table radgroupcheck:</div>

<div> </div>

<div>table: radgroupcheck</div>

<div>Groupname: fax</div>

<div>Attribute: Auth-Type</div>

<div>op: :=</div>

<div>Value: Reject</div>

<div> </div>

<div>but it's not giving the same result, the check against sql is ignored and the user is authed successfully.</div>

<div> </div>

<div>here is the debug log:</div>

<div> </div>

<div>rad_recv: Access-Request packet from host 127.0.0.1 port 45195, id=232, length=57</div>

<div>User-Name = "sogo1"</div>

<div>User-Password = "userpassword"</div>

<div>NAS-IP-Address = 192.168.4.82</div>

<div>NAS-Port = 80</div>

<div># Executing section authorize from file /etc/freeradius/sites-enabled/default</div>

<div>+- entering group authorize {...}</div>

<div>++[preprocess] returns ok</div>

<div>[auth_log] expand: /var/log/freeradius/radacct/%{Client-IP-Address}/auth-detail-%Y%m%d -> /var/log/freeradius/radacct/127.0.0.1/auth-detail-20130826</div>

<div>[auth_log] /var/log/freeradius/radacct/%{Client-IP-Address}/auth-detail-%Y%m%d expands to /var/log/freeradius/radacct/127.0.0.1/auth-detail-20130826</div>

<div>[auth_log] expand: %t -> Mon Aug 26 07:56:19 2013</div>

<div>++[auth_log] returns ok</div>

<div>++[chap] returns noop</div>

<div>++[mschap] returns noop</div>

<div>++[digest] returns noop</div>

<div>[suffix] No '@' in User-Name = "sogo1", looking up realm NULL</div>

<div>[suffix] No such realm "NULL"</div>

<div>++[suffix] returns noop</div>

<div>[eap] No EAP-Message, not doing EAP</div>

<div>++[eap] returns noop</div>

<div>  [ldap] Entering ldap_groupcmp()</div>

<div>[files] expand: dc=plutone,dc=local -> dc=plutone,dc=local</div>

<div>[files] WARNING: Deprecated conditional expansion ":-".  See "man unlang" for details</div>

<div>[files] ... expanding second conditional</div>

<div>[files] expand: %{User-Name} -> sogo1</div>

<div>[files] expand: (sAMAccountName=%{Stripped-User-Name:-%{User-Name}}) -> (sAMAccountName=sogo1)</div>

<div>  [ldap] ldap_get_conn: Checking Id: 0</div>

<div>  [ldap] ldap_get_conn: Got Id: 0</div>

<div>  [ldap] performing search in dc=plutone,dc=local, with filter (sAMAccountName=sogo1)</div>

<div>  [ldap] ldap_release_conn: Release Id: 0</div>

<div>[files] expand: (|(&(objectClass=GroupOfNames)(member=%{Ldap-UserDn}))(&(objectClass=GroupOfUniqueNames)(uniquemember=%{Ldap-UserDn}))) -> (|(&(objectClass=GroupOfNames)(member=))(&(objectClass=GroupOfUniqueNames)(uniquemember=)))</div>

<div>  [ldap] ldap_get_conn: Checking Id: 0</div>

<div>  [ldap] ldap_get_conn: Got Id: 0</div>

<div>  [ldap] performing search in dc=plutone,dc=local, with filter (&(cn=fax)(|(&(objectClass=GroupOfNames)(member=))(&(objectClass=GroupOfUniqueNames)(uniquemember=))))</div>

<div>  [ldap] object not found</div>

<div>  [ldap] ldap_release_conn: Release Id: 0</div>

<div>  [ldap] ldap_get_conn: Checking Id: 0</div>

<div>  [ldap] ldap_get_conn: Got Id: 0</div>

<div>  [ldap] performing search in CN=sogo1,CN=Users,DC=plutone,DC=local, with filter (objectclass=*)</div>

<div>  [ldap] performing search in CN=Fax,CN=Users,DC=plutone,DC=local, with filter (cn=fax)</div>

<div>rlm_ldap::ldap_groupcmp: User found in group fax</div>

<div>  [ldap] ldap_release_conn: Release Id: 0</div>

<div>[files] users: Matched entry DEFAULT at line 205</div>

<div>++[files] returns ok</div>

<div>[ldap] performing user authorization for sogo1</div>

<div>[ldap] WARNING: Deprecated conditional expansion ":-".  See "man unlang" for details</div>

<div>[ldap] ... expanding second conditional</div>

<div>[ldap] expand: %{User-Name} -> sogo1</div>

<div>[ldap] expand: (sAMAccountName=%{Stripped-User-Name:-%{User-Name}}) -> (sAMAccountName=sogo1)</div>

<div>[ldap] expand: dc=plutone,dc=local -> dc=plutone,dc=local</div>

<div>  [ldap] ldap_get_conn: Checking Id: 0</div>

<div>  [ldap] ldap_get_conn: Got Id: 0</div>

<div>  [ldap] performing search in dc=plutone,dc=local, with filter (sAMAccountName=sogo1)</div>

<div>[ldap] No default NMAS login sequence</div>

<div>[ldap] looking for check items in directory...</div>

<div>[ldap] looking for reply items in directory...</div>

<div>WARNING: No "known good" password was found in LDAP.  Are you sure that the user is configured correctly?</div>

<div>[ldap] user sogo1 authorized to use remote access</div>

<div>  [ldap] ldap_release_conn: Release Id: 0</div>

<div>++[ldap] returns ok</div>

<div>[sql] expand: %{User-Name} -> sogo1</div>

<div>[sql] sql_set_user escaped user --> 'sogo1'</div>

<div>rlm_sql (sql): Reserving sql socket id: 1</div>

<div>[sql] expand: SELECT id, username, attribute, value, op           FROM radcheck           WHERE username = '%{SQL-User-Name}'           ORDER BY id -> SELECT id, username, attribute, value, op           FROM radcheck           WHERE username = 'sogo1'           ORDER BY id</div>

<div>[sql] expand: SELECT groupname           FROM radusergroup           WHERE username = '%{SQL-User-Name}'           ORDER BY priority -> SELECT groupname           FROM radusergroup           WHERE username = 'sogo1'           ORDER BY priority</div>

<div>rlm_sql (sql): Released sql socket id: 1</div>

<div>[sql] User sogo1 not found</div>

<div>++[sql] returns notfound</div>

<div>++[expiration] returns noop</div>

<div>++[logintime] returns noop</div>

<div>[pap] WARNING: Auth-Type already set.  Not setting to PAP</div>

<div>++[pap] returns noop</div>

<div>rlm_sqlcounter: Entering module authorize code</div>

<div>rlm_sqlcounter: Could not find Check item value pair</div>

<div>++[dailycounter] returns noop</div>

<div>Found Auth-Type = Reject</div>

<div>Auth-Type = Reject, rejecting user</div>

<div>Failed to authenticate the user.</div>

<div>Using Post-Auth-Type Reject</div>

<div># Executing group from file /etc/freeradius/sites-enabled/default</div>

<div>+- entering group REJECT {...}</div>

<div>[attr_filter.access_reject] expand: %{User-Name} -> sogo1</div>

<div> attr_filter: Matched entry DEFAULT at line 11</div>

<div>++[attr_filter.access_reject] returns updated</div>

<div>Delaying reject of request 7 for 1 seconds</div>

<div>Going to the next request</div>

<div>Waking up in 0.9 seconds.</div>

<div>Sending delayed reject for request 7</div>

<div>Sending Access-Reject of id 232 to 127.0.0.1 port 45195</div>

<div>Reply-Message = "Not Allowed."</div>

<div>Waking up in 4.9 seconds.</div>

<div>Cleaning up request 7 ID 232 with timestamp +585</div>

<div>Ready to process requests.</div>

<div> </div>

<div> </div>

<div>I've noticed that in the rlm_sql debugging no query is performed against radgroupcheck</div>

<div>could it be that i missed something in my configuration? yet i can't figure out what, i ran through my config files many times..</div>

<div> </div>

<div>thanks.</div>

<div>Francesco</div>

<div> </div>

<blockquote style="padding-right: 0px; padding-left: 5px; margin-left: 5px; border-left: #000000 2px solid; margin-right: 0px;" dir="ltr">

<div style="font: 10pt arial;">--------- Original Message --------<br /> Da: "Alan DeKok" <aland@deployingradius.com><br /> To: "FreeRadius users mailing list" <freeradius-users@lists.freeradius.org><br /> Oggetto: Re: Groups in active directory and checks in MySQL<br /> Data: 23/08/13 21:32<br /> <br /> <!-- begin tln_sanitized html --> <span style="font-family: 'Courier New'; font-size: small;"><br /> <br /> Atomikramp wrote:<br /> > I'm in a situation now where i can successfully retrieve group<br /> > membership of users in the active directory LDAP tree using rlm_ldap,<br /> > and check them against files.<br /> <br /> OK.<br /> <br /> > so if i have a user with "memberOf" attribute set to groupA<br /> > and i set in the raddb/users the following entry:<br /> > <br /> > DEFAULTLdap-Group == "groupA", Auth-Type := Reject<br /> > Reply-Message = "Not Allowed."<br /> > <br /> > i successfully deny access to that user.<br /> <br /> T

 hat

should map directly to the SQL tables.<br /> <br /> > Since i'm already using MySQL for storing accounting informations i was<br /> > really interested in being able to use the same backend (mysql) also for<br /> > performing checks against groups.<br /> > <br /> > If i perform checks against usernames using the table radcheck they work<br /> > properly (users retrieved from the LDAP backend), i've tried setting a<br /> > radcheck like the following:<br /> > userA Max-Daily-Session := 7200<br /> > <br /> > and after 2 hours the user is unable to authenticate to the NAS because<br /> > the time allowed has expired.<br /> > <br /> > <br /> > But i cant seem to be able to do the same thing with the groups.<br /> <br /> Post the debug output. And what do you have in SQL?<br /> <br /> > i've configured sites-enabled/default like this:<br /> <br /> Note that the FAQ, README, "man" pages, and web pages ALL say to post<br /> the debug outp

 ut. We

really don't care about the configuration. It<br /> doesn't show what happens when the server receives a request.<br /> <br /> Alan DeKok.<br /> </span> <!-- end tln_sanitized html --></div>

</blockquote><br><div><font face=Verdana,Arial size=2>----<br>

 Caselle da 1GB, trasmetti allegati fino a 3GB e in piu' IMAP, POP3 e SMTP autenticato?  <a href="http://www.email.it/cgi-bin/start?sid=3" 

 target="_blank" >GRATIS solo con Email.it</a> <br>

 <br>

 Sponsor:<br>

 PEPPA PIG: Acquista Peluche, Gadget e Abbigliamento Originale su mistercupido.com<br>

 <a href="http://adv.email.it/cgi-bin/foclick.cgi?mid=12897&d=20130826" target="_blank" >Clicca qui</a> </font><br>