<div dir="ltr"><div><div><div><div>It works. It just doesn't work as expected.<br><br></div>In normal mode radius.log shows apparently working binds on startup:<br><br><font size="1"><span style="font-family:courier new,monospace">Thu Jan  9 13:33:06 2014 : Info: rlm_ldap (ldap_xxxxx): Opening additional connection (0)<br>


Thu Jan  9 13:33:06 2014 : Info: rlm_ldap (ldap_xxxxx): Opening additional connection (1)<br>Thu Jan  9 13:33:06 2014 : Info: rlm_ldap (ldap_xxxxx): Opening additional connection (2)<br>Thu Jan  9 13:33:06 2014 : Info: rlm_ldap (ldap_yyyyy): Opening additional connection (0)<br>


Thu Jan  9 13:33:06 2014 : Info: rlm_ldap (ldap_yyyyy): Opening additional connection (1)<br>Thu Jan  9 13:33:06 2014 : Info: rlm_ldap (ldap_yyyyy): Opening additional connection (2)</span></font><br><br></div><div>radtest with a user from "users" returns Access-Accept<br>


</div><div><br></div>But radiusd -X is failing:<br><br><font size="1"><span style="font-family:courier new,monospace">...<br></span><span style="font-family:courier new,monospace"># Skipping instantiation of ldap_</span></font><font size="1"><span style="font-family:courier new,monospace"><font size="1"><span style="font-family:courier new,monospace">yyyyy<br>


</span></font>ldap ldap_</span></font><font size="1"><span style="font-family:courier new,monospace"><font size="1"><span style="font-family:courier new,monospace">yyyyy</span></font> {<br>...<br>}<br>...<br></span><span style="font-family:courier new,monospace">Ready to process requests<br>


rad_recv: Access-Request packet from host 127.0.0.1 port 46825, id=153, length=92<br>    User-Name = 'thisuser'<br>    User-Password = 'thatpassword'<br>    NAS-IP-Address = </span></font><font size="1"><span style="font-family:courier new,monospace">203.0.113.1<br>


    NAS-Port = 1812<br>    Message-Authenticator = 0x96838d44a607086ec3af35a2d39aa6e5<br>(0) # Executing section authorize from file /usr/local/etc/raddb/sites-enabled/default<br>(0)   authorize {<br>(0)   filter_username filter_username {<br>


(0)    ? if (!User-Name) <br>(0)    ? if (!User-Name)  -> FALSE<br>(0)    ? if (User-Name != "%{tolower:%{User-Name}}") <br>(0)     expand: "%{tolower:%{User-Name}}" -> '</span></font><font size="1"><span style="font-family:courier new,monospace"><font size="1"><span style="font-family:courier new,monospace">thisuser</span></font>'<br>


(0)    ? if (User-Name != "%{tolower:%{User-Name}}")  -> FALSE<br>(0)    ? if (User-Name =~ / /) <br>(0)    ? if (User-Name =~ / /)  -> FALSE<br>(0)    ? if (User-Name =~ /@.*@/ ) <br>(0)    ? if (User-Name =~ /@.*@/ )  -> FALSE<br>


(0)    ? if (User-Name =~ /\\.\\./ ) <br>(0)    ? if (User-Name =~ /\\.\\./ )  -> FALSE<br>(0)    ? if ((User-Name =~ /@/) && (User-Name !~ /@(.+)\\.(.+)$/))  <br>(0)    ? if ((User-Name =~ /@/) && (User-Name !~ /@(.+)\\.(.+)$/))   -> FALSE<br>


(0)    ? if (User-Name =~ /\\.$/)  <br>(0)    ? if (User-Name =~ /\\.$/)   -> FALSE<br>(0)    ? if (User-Name =~ /@\\./)  <br>(0)    ? if (User-Name =~ /@\\./)   -> FALSE<br>(0)   } # filter_username filter_username = notfound<br>


(0)   [preprocess] = ok<br>(0)   [chap] = noop<br>(0)   [mschap] = noop<br>(0)   [digest] = noop<br>(0) suffix : No '@' in User-Name = "</span></font><font size="1"><span style="font-family:courier new,monospace"><font size="1"><span style="font-family:courier new,monospace">thisuser</span></font>", looking up realm NULL<br>


(0) suffix : Found realm "NULL"<br>(0) suffix : Adding Stripped-User-Name = "</span></font><font size="1"><span style="font-family:courier new,monospace"><font size="1"><span style="font-family:courier new,monospace">thisuser</span></font>"<br>


(0) suffix : Adding Realm = "NULL"<br>(0) suffix : Authentication realm is LOCAL<br>(0)   [suffix] = ok<br>(0) eap : No EAP-Message, not doing EAP<br>(0)   [eap] = noop<br>(0) files : users: Matched entry </span></font><font size="1"><span style="font-family:courier new,monospace"><font size="1"><span style="font-family:courier new,monospace">thisuser</span></font> at line 108<br>


(0)   [files] = ok<br>(0) ERROR: ldap_yyyyy : All ldap connections are in use<br>(0)   [ldap_</span></font><font size="1"><span style="font-family:courier new,monospace"><font size="1"><span style="font-family:courier new,monospace">yyyyy</span></font>] = fail<br>


(0)  } #  authorize = fail<br>(0) Using Post-Auth-Type Reject<br>(0) # Executing group from file /usr/local/etc/raddb/sites-enabled/default<br>(0)  Post-Auth-Type REJECT {<br>(0) attr_filter.access_reject :     expand: "%{User-Name}" -> '</span></font><font size="1"><span style="font-family:courier new,monospace"><font size="1"><span style="font-family:courier new,monospace"></span></font><font size="1"><span style="font-family:courier new,monospace"><font size="1"><span style="font-family:courier new,monospace">thisuser</span></font></span></font>'<br>


(0) attr_filter.access_reject : Matched entry DEFAULT at line 11<br>(0)   [attr_filter.access_reject] = updated<br>(0) eap : Request didn't contain an EAP-Message, not inserting EAP-Failure<br>(0)   [eap] = noop<br>(0)   remove_reply_message_if_eap remove_reply_message_if_eap {<br>


(0)    ? if (reply:EAP-Message && reply:Reply-Message) <br>(0)    ? if (reply:EAP-Message && reply:Reply-Message)  -> FALSE<br>(0)    else else {<br>(0)     [noop] = noop<br>(0)    } # else else = noop<br>


(0)   } # remove_reply_message_if_eap remove_reply_message_if_eap = noop<br>(0)  } # Post-Auth-Type REJECT = updated<br>(0) Finished request 0.<br>Waking up in 0.3 seconds.<br>Waking up in 0.6 seconds.<br>(0) Sending delayed reject<br>


Sending Access-Reject of id 153 from 127.0.0.1 port 1812 to 127.0.0.1 port 46825<br>    Reply-Message = 'Rejected'<br>Waking up in 4.9 seconds.<br>(0) Cleaning up request packet ID 153 with timestamp +2<br>Ready to process requests</span></font><br>


<br></div>Any idea about why this is happening?<br><br></div>Regards.<br><div><br></div></div>