<div dir="ltr"><div><div>Wonderful !! quality of information was superb. Understood !!<br><br></div>Thanks / Regards<br></div>RM -- <br></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Sep 26, 2014 at 2:58 PM, Alan DeKok <span dir="ltr"><<a href="mailto:aland@deployingradius.com" target="_blank">aland@deployingradius.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">Russell Mike wrote:<br>
> i wish to process authentication section before authorization & then<br>
> accounting. We want to authenticate CPE (Motorola SM) using EAP<br>
> (working) and then authorize using MAC address from a database. if not<br>
> found, redirect to a URL.<br>
<br>
</span>  That can be done in the post-auth section.  EAP uses multiple round<br>
trips, so you *don't* want to be looking up the MAC in the DB for every<br>
packet.  Once is good enough.<br>
<br>
  You can just put a SELECT statement into post-auth:<br>
<br>
post-auth {<br>
        ...<br>
<br>
        if ("%{sql:SELECT ...}") {<br>
                # found<br>
        }<br>
        else {<br>
                # re-direct to URL ???<br>
        }<br>
        ...<br>
}<br>
<br>
<br>
  Put the MAC into a table by itself.  There's no need to use the<br>
standard FreeRADIUS schema.  A simpler one can be simpler.<br>
<br>
  And RADIUS doesn't do URL redirection.  The AP has to support that.<br>
So if the AP documentation doesn't say it does URL redirection... it's<br>
not possible.<br>
<br>
  That's what hotspots are for.  They can do IP layer filtering and<br>
redirection.  It's impossible to do that in standard RADIUS.<br>
<div class="HOEnZb"><div class="h5"><br>
  Alan DeKok.<br>
-<br>
List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/list/users.html</a><br>
</div></div></blockquote></div><br></div>