
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<meta name="Generator" content="Microsoft Word 14 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:Tahoma;

        panose-1:2 11 6 4 3 5 4 4 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman","serif";}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

span.EmailStyle17

        {mso-style-type:personal-reply;

        font-family:"Calibri","sans-serif";

        color:#1F497D;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-family:"Calibri","sans-serif";}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="EN-US" link="blue" vlink="purple">

<div class="WordSection1">

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Ah, cool.  Thanks.  I've been thinking about doing the same thing for our local realms as well, but I would absolutely have to have some kind of log message

 for rejections or I won't be able to make it fly.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">--J<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> freeradius-users-bounces+mcnuttj=missouri.edu@lists.freeradius.org [mailto:freeradius-users-bounces+mcnuttj=missouri.edu@lists.freeradius.org]

<b>On Behalf Of </b>inverse<br>

<b>Sent:</b> Thursday, February 13, 2014 8:32 AM<br>

<b>To:</b> FreeRadius users mailing list<br>

<b>Subject:</b> Re: PEAP auth rejected due to different inner and outer user-id<o:p></o:p></span></p>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<div>

<p class="MsoNormal">No, as for this server I don't keep failure auth/reply logs. However I forgot to mention this is currently affecting only our local realms for enrolled students and personnel. The "default" realm is authenticated on another server with

 no such restriction.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<p class="MsoNormal" style="margin-bottom:12.0pt">Inverse<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="margin-bottom:12.0pt"><o:p> </o:p></p>

<div>

<p class="MsoNormal">On Thu, Feb 13, 2014 at 1:56 PM, McNutt, Justin M. <<a href="mailto:McNuttJ@missouri.edu" target="_blank">McNuttJ@missouri.edu</a>> wrote:<o:p></o:p></p>

<div>

<div>

<p class="MsoNormal">When this occurs, do you get something in your log that tells you that this is the reason for the auth failure?<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">Also, isn't inner anonymity one of the permitted benefits of the federated EAP structure used by eduroam? That is, guests are permitted to hide their real user IDs while not at "home"?<br>

<br>

Sent from my mobile device.<o:p></o:p></p>

</div>

<div>

<div>

<div>

<p class="MsoNormal" style="margin-bottom:12.0pt"><br>

On Feb 11, 2014, at 8:52, "inverse" <<a href="mailto:inverse@ngi.it" target="_blank">inverse@ngi.it</a>> wrote:<o:p></o:p></p>

</div>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<div>

<div>

<p class="MsoNormal">The "eap_custom" module seems responsible for this behaviour so you should look into its config, curiously enough I've found no traces of it in my freeradius 2.2.3

<o:p></o:p></p>

<div>

<div>

<p class="MsoNormal"><br>

Tue Feb 11 09:58:32 2014 : Debug: [eap_custom] Request found, released from the list<br>

Tue Feb 11 09:58:32 2014 : Debug: [eap_custom] Identity does not match User-Name.  Authentication failed.<br>

Tue Feb 11 09:58:32 2014 : Debug: [eap_custom] Failed in handler <o:p></o:p></p>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal" style="margin-bottom:12.0pt">However I consider this a feature, not a bug. In fact as a local policy for eduroam I've placed this in the inner-tunnel 's post-auth section:<br>

<br>

if ( "%{outer.request:User-Name}" != "%{User-Name}" ){ <br>

                          reject <br>

                        }        <br>

<br>

<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="margin-bottom:12.0pt">which does exactly that. If you see something along these lines, you've found the source of your problems<br>

<br>

<br>

<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="margin-bottom:12.0pt">Best regards,<br>

<br>

Inverse<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="margin-bottom:12.0pt"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<p class="MsoNormal">On Tue, Feb 11, 2014 at 2:45 PM, douglas eseng <<a href="mailto:douglas.eseng@gmail.com" target="_blank">douglas.eseng@gmail.com</a>> wrote:<o:p></o:p></p>

<div>

<div>

<div>

<div>

<div>

<div>

<p class="MsoNormal">Encountered the following issue.<o:p></o:p></p>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<p class="MsoNormal">Running FR 2.2.3. PEAP tunneled authentication was successful. But get rejected due to username mismatch. No issue when both username are the same.<o:p></o:p></p>

</div>

</div>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

</div>

</div>

</div>

</div>

</div>

</blockquote>

</div>

</div>

<div>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<div>

<p class="MsoNormal">-<br>

List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" target="_blank">

http://www.freeradius.org/list/users.html</a><o:p></o:p></p>

</div>

</blockquote>

</div>

</div>

<p class="MsoNormal"><br>

-<br>

List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" target="_blank">

http://www.freeradius.org/list/users.html</a><o:p></o:p></p>

</div>

<p class="MsoNormal"><br>

<br clear="all">

<br>

-- <br>

"In a sea of glass shards, I hear you screaming"<br>

--icchan <o:p></o:p></p>

</div>

</div>

</body>

</html>