<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">Reading the documentation I am still at a loss. I am familiar on how to do this with Cisco ACS, but looking to do it now with free radius. I now have it working if I check the Cisco-avpair under the user in dalo Radius (Cisco-avpair =~ .*SSID$) . Is there a way to configure this so i dont have to keep typing that attribute under every user? I thought the group would work, but from what you are saying it sounds like it wouldnt. I have tried saying if it doesnt match the above regex then the Radgroupreply says ( Auth-Typ := Reject)<br>

<br>Thank you for your time.<br><font color="#888888"><br></font><span style="color:rgb(136,136,136)">Dan</span><br><font color="#500050"><br><br></font><span style="color:rgb(80,0,80)">On Mon, Jul 28, 2014 at 2:15 PM, Alan DeKok <</span><a href="mailto:aland@deployingradius.com" target="_blank">aland@deployingradius.com</a><span style="color:rgb(80,0,80)">> wrote:</span><br>

<span style="color:rgb(80,0,80)">></span><br><span style="color:rgb(80,0,80)">> Dan Fleming wrote:</span><br><span style="color:rgb(80,0,80)">> > Thank you I have read through it makes sense. So how do I do something</span><br>

<span style="color:rgb(80,0,80)">> > based on the results?</span><br><span style="color:rgb(80,0,80)">></span><br><span style="color:rgb(80,0,80)">>   The SQL document talks about "radreply", which lets you do something</span><br>

<span style="color:rgb(80,0,80)">> with the results.</span><br><span style="color:rgb(80,0,80)">></span><br><span style="color:rgb(80,0,80)">> > I would like to only authorize a connection if the</span><br><span style="color:rgb(80,0,80)">> > users password matches and they are connecting to the correct ssid in</span><br>

<span style="color:rgb(80,0,80)">> > the av-pair. Is there a HOWTO or other document outlining how to do that?</span><br><span style="color:rgb(80,0,80)">></span><br><span style="color:rgb(80,0,80)">>   No.  Because that's a specific solution.  The documents describe how</span><br>

<span style="color:rgb(80,0,80)">> the server works, and lets you put it together yourself.</span><br><span style="color:rgb(80,0,80)">></span><br><span style="color:rgb(80,0,80)">>   For your situation, the key is to understand that the server accepts</span><br>

<span style="color:rgb(80,0,80)">> users if their password is correct.  If you add more conditional checks,</span><br><span style="color:rgb(80,0,80)">> the user is still accepted.</span><br><span style="color:rgb(80,0,80)">></span><br>

<span style="color:rgb(80,0,80)">>   The solution is either to:</span><br><span style="color:rgb(80,0,80)">></span><br><span style="color:rgb(80,0,80)">> a) set the "known good" password ONLY if the conditions also match.  The</span><br>

<span style="color:rgb(80,0,80)">> SQL documentation describes how to set conditions</span><br><span style="color:rgb(80,0,80)">></span><br><span style="color:rgb(80,0,80)">> b) if the password is stored somewhere else (e.g. LDAP), then you need</span><br>

<span style="color:rgb(80,0,80)">> to REJECT the user if the conditions match.</span><br><span style="color:rgb(80,0,80)">></span><br><span style="color:rgb(80,0,80)">>   Alan DeKok.</span><br><span style="color:rgb(80,0,80)">> -</span><br>

<div><div><div class="h5">> List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/list/users.html</a></div></div></div>
</div><br></div></div>