
<div dir="ltr">Alan,<div><br></div><div>Thank you for your reply and please find my inline response below.</div><div><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Sep 26, 2013 at 7:54 PM, Alan DeKok <span dir="ltr"><<a href="mailto:aland@deployingradius.com" target="_blank">aland@deployingradius.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div class="im">Don wrote:<br>

> That said, if EAP-GTC can be used along with ntlm_auth how do I<br>

> configure it to make that work?<br>

<br>

</div>  Read the "gtc" sub-section of eap.conf.  It tells you how to make<br>

EAP-GTC use a particular authentication method.<br></blockquote><div><br></div><div>I tried one of these inside "gtc" sub-section of eap.conf, that don't seem to work:</div><div>        auth_type = ntlm_auth<br>

</div><div>or<br></div><div>        ntlm_auth = "/usr/bin/ntlm_auth --request-nt-key --domain=MYDOMAIN --username=%{User-Name} --password=%{User-Password}"</div><div><br></div><div>Though I haven't tried replacing User-Password with Cleartext-Password.</div>

<div>Do I have to place this under "gtc" sub-section inside inner-eap?</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">


<div class="im"><br>

> I tried to execute ntlm_auth passing<br>

> --password=%{User-Password}, but that didn't work as User-Password is<br>

> empty.<br>

<br>

</div>  You tried *where*?  That matters.<br></blockquote><div><br></div><div>See my comment earlier. Did I place the configuration at the right sub-section?</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">


<div class="im"><br>

> It says in eap.conf that GTC challenges the user with text and<br>

> the response from the user is taken to be the User-Password. Perhaps I<br>

> am executing ntlm_auth too early before GTC Password challenge is sent<br>

> out and received the response.<br>

><br>

> My questions are:<br>

> 1. How can I configure freeRadius so GTC will work with ntlm_auth?<br>

<br>

</div>  a) configure ntlm_auth as per the <a href="http://deployingradius.com" target="_blank">deployingradius.com</a> docs, and the<br>

examples in the config files<br></blockquote><div><br></div><div>Yes, I saw the ntlm_auth configuration under modules/mschap and modules/ntlm_auth. As stated in my first email, I am able to configure freeRadius to authenticate against our Active Directory using EAP-MSCHAPv2 (ntlm_auth) and I am looking to see if using EAP-GTC will work as well.</div>

<div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">

  b) tell EAP-GTC to use ntlm_auth as per the examples in the gtc<br>

configuration.</blockquote><div><br></div><div>As I mentioned earlier, I tried both auth_type = ntlm_auth nor ntlm_auth = "/usr/bin/ntlm_auth ..." command execution, but that don't work.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">

<div class="im">

> 2. Is it possible to send subsequent GTC challenge in addition to<br>

> default Password challenge? If possible, how do I configure the<br>

> subsequent GTC challenge?<br>

<br>

</div>  No.  EAP-GTC is only challenge-response.  It doesn't do multiple<br>

challenges.</blockquote><div><br></div><div>The reason I am asking the question of multiple challenges because I am currently evaluating another vendor solution for multi-factor authentication thru EAP-PEAP/TLS with EAP-GTC and the solution prompts 2 additional inputs during authentication. Here is the link: <a href="https://www.duosecurity.com/docs/netmotion">https://www.duosecurity.com/docs/netmotion</a>. I thought if they can do it, freeRadius can do it as well.</div>

<div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span class=""><font color="#888888">

  Alan DeKok.<br>

-<br>

List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/list/users.html</a><br>

</font></span></blockquote></div><br></div><div class="gmail_extra"><br></div><div class="gmail_extra">Regards,</div><div class="gmail_extra">Dono</div></div>