
<div dir="ltr">Hi,<div><br></div><div>I am using freeradius v3.0.4 on ubuntu 14.04. </div><div>I tried to send radius request using command "radtest test password localhost 0 testing123"</div><div>I got no reply from server.</div><div>When I checked for open ports I didnot see any ports opened for freeradius.</div><div>What is the command to start freeradius services?</div><div>I tried /etc/init/d/freeradius restart which did not work</div><div><br></div><div><br>Thanks,</div><div>Kavya<br><div><br></div><div><br></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Oct 1, 2014 at 11:09 AM,  <span dir="ltr"><<a href="mailto:freeradius-users-request@lists.freeradius.org" target="_blank">freeradius-users-request@lists.freeradius.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Send Freeradius-Users mailing list submissions to<br>

        <a href="mailto:freeradius-users@lists.freeradius.org">freeradius-users@lists.freeradius.org</a><br>

<br>

To subscribe or unsubscribe via the World Wide Web, visit<br>

        <a href="http://lists.freeradius.org/mailman/listinfo/freeradius-users" target="_blank">http://lists.freeradius.org/mailman/listinfo/freeradius-users</a><br>

or, via email, send a message with subject or body 'help' to<br>

        <a href="mailto:freeradius-users-request@lists.freeradius.org">freeradius-users-request@lists.freeradius.org</a><br>

<br>

You can reach the person managing the list at<br>

        <a href="mailto:freeradius-users-owner@lists.freeradius.org">freeradius-users-owner@lists.freeradius.org</a><br>

<br>

When replying, please edit your Subject line so it is more specific<br>

than "Re: Contents of Freeradius-Users digest..."<br>

<br>

<br>

Today's Topics:<br>

<br>

   1. RE: Maximum username length<br>

      (Franks Andy (RLZ) IT Systems Engineer)<br>

   2. Re: Maximum username length (Alan DeKok)<br>

   3. Authentication and Authorization (Alex Gregory)<br>

   4. Re: Authentication and Authorization (Nick Owen)<br>

   5. Re: Authentication and Authorization (Alex Gregory)<br>

   6. Re: Authentication and Authorization (Alan DeKok)<br>

   7. EAP-GTC & Yubikey (<a href="mailto:cellkites@hushmail.com">cellkites@hushmail.com</a>)<br>

<br>

<br>

----------------------------------------------------------------------<br>

<br>

Message: 1<br>

Date: Tue, 30 Sep 2014 15:55:56 +0100<br>

From: "Franks Andy \(RLZ\) IT Systems Engineer"<br>

        <<a href="mailto:Andy.Franks@sath.nhs.uk">Andy.Franks@sath.nhs.uk</a>><br>

To: "FreeRadius users mailing list"<br>

        <<a href="mailto:freeradius-users@lists.freeradius.org">freeradius-users@lists.freeradius.org</a>><br>

Subject: RE: Maximum username length<br>

Message-ID: <<a href="mailto:20140930145557.4FCC5448906@nhs-pd1e-esg106.ad1.nhs.net">20140930145557.4FCC5448906@nhs-pd1e-esg106.ad1.nhs.net</a>><br>

Content-Type: text/plain;       charset="UTF-8"<br>

<br>

They should make a movie..<br>

<br>

So you're suggesting I reprogram pfsense then? I'll have to inform the boss it's going to take a bit longer!<br>

<br>

Anyway, point taken, I'll have to see what this entails. The string was looking to be pretty long anyway.<br>

:-)<br>

<br>

<br>

<br>

-----Original Message-----<br>

From: freeradius-users-bounces+andy.franks=<a href="mailto:sath.nhs.uk@lists.freeradius.org">sath.nhs.uk@lists.freeradius.org</a> [mailto:<a href="mailto:freeradius-users-bounces%2Bandy.franks">freeradius-users-bounces+andy.franks</a>=<a href="mailto:sath.nhs.uk@lists.freeradius.org">sath.nhs.uk@lists.freeradius.org</a>] On Behalf Of Alan DeKok<br>

Sent: 30 September 2014 14:03<br>

To: FreeRadius users mailing list<br>

Subject: Re: Maximum username length<br>

<br>

Franks Andy (RLZ) IT Systems Engineer wrote:<br>

>   We?re going to attempt to pass a number of delimited variables<br>

> through via the username field<br>

<br>

  Dear god no.  This is a *terrible* idea.  It will cause global warming, rickets, plagues, alien invasions, and help bring on the coming apocalypse.<br>

<br>

> and split them at the freeradius end, mostly to avoid rewriting the<br>

> php in the captive portal to use more orthodox existing attributes.<br>

<br>

  There's no good reason to push crap onto someone else.  Your laziness just makes life harder for everyone else.<br>

<br>

  If you care about your users, *don't* do this.<br>

<br>

> Can someone confirm the maximum username field length? I can see in<br>

> the RFCs that 63 is the recommended minimum nas length but there?s not<br>

> much else I can see in there.<br>

<br>

  A lot of equipment and systems won't handle more than 63 characters.<br>

<br>

  This is a terrible, evil, disgusting idea.  RADIUS is full of enough crap already without people deliberately adding more.<br>

<br>

  Alan DeKok.<br>

-<br>

List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/list/users.html</a><br>

<br>

------------------------------<br>

<br>

Message: 2<br>

Date: Tue, 30 Sep 2014 11:36:39 -0400<br>

From: Alan DeKok <<a href="mailto:aland@deployingradius.com">aland@deployingradius.com</a>><br>

To: FreeRadius users mailing list<br>

        <<a href="mailto:freeradius-users@lists.freeradius.org">freeradius-users@lists.freeradius.org</a>><br>

Subject: Re: Maximum username length<br>

Message-ID: <<a href="mailto:542ACE07.9050601@deployingradius.com">542ACE07.9050601@deployingradius.com</a>><br>

Content-Type: text/plain; charset=UTF-8<br>

<br>

Franks Andy (RLZ) IT Systems Engineer wrote:<br>

> So you're suggesting I reprogram pfsense then? I'll have to inform the boss it's going to take a bit longer!<br>

<br>

  You can fix pfsense once, or thousands of administrators can curse<br>

your name while they try to "fix" their RADIUS server so that it works<br>

with a non-standard username.<br>

<br>

  That's a lot of negative karma.<br>

<br>

  Alan DeKok.<br>

<br>

<br>

------------------------------<br>

<br>

Message: 3<br>

Date: Tue, 30 Sep 2014 19:18:20 +0000<br>

From: Alex Gregory <<a href="mailto:alex@c2company.com">alex@c2company.com</a>><br>

To: FreeRadius users mailing list<br>

        <<a href="mailto:freeradius-users@lists.freeradius.org">freeradius-users@lists.freeradius.org</a>><br>

Subject: Authentication and Authorization<br>

Message-ID: <<a href="mailto:7A1FE1A4-0B02-4D9E-AB1A-B80D64AF82D3@c2company.com">7A1FE1A4-0B02-4D9E-AB1A-B80D64AF82D3@c2company.com</a>><br>

Content-Type: text/plain; charset="us-ascii"<br>

<br>

Hello-<br>

<br>

If I have both LDAP and Proxy configured will FreeRadius use both?  What I am looking for is the FreeRadius server authorize a user in LDAP and if that passes forward the user to the upstream OTP radius server (via proxy.conf) for authentication.  I believe its doing this now with the LDAP module, just authenticating locally, rather than proxied.<br>

<br>

Is this possible?<br>

<br>

Thanks,<br>

<br>

Alex<br>

<br>

<br>

<br>

------------------------------<br>

<br>

Message: 4<br>

Date: Tue, 30 Sep 2014 17:02:20 -0400<br>

From: Nick Owen <<a href="mailto:owen.nick@gmail.com">owen.nick@gmail.com</a>><br>

To: FreeRadius users mailing list<br>

        <<a href="mailto:freeradius-users@lists.freeradius.org">freeradius-users@lists.freeradius.org</a>><br>

Subject: Re: Authentication and Authorization<br>

Message-ID:<br>

        <<a href="mailto:CAJC4Zap-F3xJHhJPXjx9vRZoC6-4EHOaafv4wummZpRTdGi9gQ@mail.gmail.com">CAJC4Zap-F3xJHhJPXjx9vRZoC6-4EHOaafv4wummZpRTdGi9gQ@mail.gmail.com</a>><br>

Content-Type: text/plain; charset=UTF-8<br>

<br>

Yes, see this tutorial:<br>

<a href="https://www.wikidsystems.com/support/wikid-support-center/how-to/how-to-add-two-factor-authentication-to-openldap-and-freeradius" target="_blank">https://www.wikidsystems.com/support/wikid-support-center/how-to/how-to-add-two-factor-authentication-to-openldap-and-freeradius</a>.<br>

Note that you login with the username and OTP.  No ldap password is<br>

needed.<br>

<br>

HTH,<br>

<br>

Nick<br>

<br>

On Tue, Sep 30, 2014 at 3:18 PM, Alex Gregory <<a href="mailto:alex@c2company.com">alex@c2company.com</a>> wrote:<br>

> Hello-<br>

><br>

> If I have both LDAP and Proxy configured will FreeRadius use both?  What I am looking for is the FreeRadius server authorize a user in LDAP and if that passes forward the user to the upstream OTP radius server (via proxy.conf) for authentication.  I believe its doing this now with the LDAP module, just authenticating locally, rather than proxied.<br>

><br>

> Is this possible?<br>

><br>

> Thanks,<br>

><br>

> Alex<br>

><br>

> -<br>

> List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/list/users.html</a><br>

<br>

<br>

<br>

--<br>

--<br>

Nick Owen<br>

WiKID Systems, Inc.<br>

<a href="http://www.wikidsystems.com" target="_blank">http://www.wikidsystems.com</a><br>

Commercial/Open Source Two-Factor Authentication<br>

<br>

<br>

------------------------------<br>

<br>

Message: 5<br>

Date: Tue, 30 Sep 2014 22:49:00 +0000<br>

From: Alex Gregory <<a href="mailto:alex@c2company.com">alex@c2company.com</a>><br>

To: FreeRadius users mailing list<br>

        <<a href="mailto:freeradius-users@lists.freeradius.org">freeradius-users@lists.freeradius.org</a>><br>

Subject: Re: Authentication and Authorization<br>

Message-ID: <<a href="mailto:BCBCCE17-2331-4F9E-B664-D66FF01473DA@c2company.com">BCBCCE17-2331-4F9E-B664-D66FF01473DA@c2company.com</a>><br>

Content-Type: text/plain; charset="us-ascii"<br>

<br>

Thank you for the link.  I have the OTP working on a test server now with proxying.  The problem is the hosted OTP server does not supply any group or attribute information back yet like this Wikid server does.  But I have two different user groups for two different networks (Corp and Dev users) that need to be differentiated.<br>

<br>

In production have two virtual radius servers each doing an LDAP lookup into a different group.  If a user tries to access the incorrect network they are denied because they are not in that group.  Works great.  If I alter the server to proxy the request with the LDAP module configured will it handle things properly?<br>

<br>

Thanks,<br>

<br>

Alex<br>

<br>

<br>

<br>

On Sep 30, 2014, at 2:02 PM, Nick Owen <<a href="mailto:owen.nick@gmail.com">owen.nick@gmail.com</a>> wrote:<br>

<br>

> Yes, see this tutorial:<br>

> <a href="https://www.wikidsystems.com/support/wikid-support-center/how-to/how-to-add-two-factor-authentication-to-openldap-and-freeradius" target="_blank">https://www.wikidsystems.com/support/wikid-support-center/how-to/how-to-add-two-factor-authentication-to-openldap-and-freeradius</a>.<br>

> Note that you login with the username and OTP.  No ldap password is<br>

> needed.<br>

><br>

> HTH,<br>

><br>

> Nick<br>

><br>

> On Tue, Sep 30, 2014 at 3:18 PM, Alex Gregory <<a href="mailto:alex@c2company.com">alex@c2company.com</a>> wrote:<br>

>> Hello-<br>

>><br>

>> If I have both LDAP and Proxy configured will FreeRadius use both?  What I am looking for is the FreeRadius server authorize a user in LDAP and if that passes forward the user to the upstream OTP radius server (via proxy.conf) for authentication.  I believe its doing this now with the LDAP module, just authenticating locally, rather than proxied.<br>

>><br>

>> Is this possible?<br>

>><br>

>> Thanks,<br>

>><br>

>> Alex<br>

>><br>

>> -<br>

>> List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/list/users.html</a><br>

><br>

><br>

><br>

> --<br>

> --<br>

> Nick Owen<br>

> WiKID Systems, Inc.<br>

> <a href="http://www.wikidsystems.com" target="_blank">http://www.wikidsystems.com</a><br>

> Commercial/Open Source Two-Factor Authentication<br>

> -<br>

> List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/list/users.html</a><br>

<br>

<br>

<br>

------------------------------<br>

<br>

Message: 6<br>

Date: Tue, 30 Sep 2014 21:26:56 -0400<br>

From: Alan DeKok <<a href="mailto:aland@deployingradius.com">aland@deployingradius.com</a>><br>

To: FreeRadius users mailing list<br>

        <<a href="mailto:freeradius-users@lists.freeradius.org">freeradius-users@lists.freeradius.org</a>><br>

Subject: Re: Authentication and Authorization<br>

Message-ID: <<a href="mailto:542B5860.5010803@deployingradius.com">542B5860.5010803@deployingradius.com</a>><br>

Content-Type: text/plain; charset=ISO-8859-1<br>

<br>

Alex Gregory wrote:<br>

> Thank you for the link.  I have the OTP working on a test server now with proxying.  The problem is the hosted OTP server does not supply any group or attribute information back yet like this Wikid server does.<br>

<br>

  There are no standard RADIUS attributes which carry that information.<br>

 If you need it, the OTP server may not even be able to send that<br>

information in RADIUS.<br>

<br>

>  But I have two different user groups for two different networks (Corp and Dev users) that need to be differentiated.<br>

><br>

> In production have two virtual radius servers each doing an LDAP lookup into a different group.  If a user tries to access the incorrect network they are denied because they are not in that group.  Works great.  If I alter the server to proxy the request with the LDAP module configured will it handle things properly?<br>

<br>

  LDAP lookups are completely independent of proxying.<br>

<br>

  If configured correctly, it should work.<br>

<br>

  Alan DeKok.<br>

<br>

<br>

------------------------------<br>

<br>

Message: 7<br>

Date: Wed, 01 Oct 2014 13:39:23 +0800<br>

From: <a href="mailto:cellkites@hushmail.com">cellkites@hushmail.com</a><br>

To: <a href="mailto:freeradius-users@lists.freeradius.org">freeradius-users@lists.freeradius.org</a><br>

Subject: EAP-GTC & Yubikey<br>

Message-ID: <<a href="mailto:20141001053923.E3D29C0105@smtp.hushmail.com">20141001053923.E3D29C0105@smtp.hushmail.com</a>><br>

Content-Type: text/plain; charset="utf-8"<br>

<br>

I've been attempting to integrate yubikeys with freeradius and have<br>

had great success with the included yubikey module authenticating<br>

against both stored aes keys and a private otp validation server.<br>

However I am now attempting to use them in conjunction with EAP-GTC<br>

and am slightly lost.<br>

<br>

Under the gtc section of the eap module config i see that a user<br>

password is returned from the connecting client and passed onto<br>

another module for authentication. Is it possible to then pass this to<br>

the yubikey module to extract the otp portion, authenticate the otp<br>

and then continue with PAP authentication using the users password?<br>

<br>

Is there another way i should be going about this?<br>

-------------- next part --------------<br>

An HTML attachment was scrubbed...<br>

URL: <<a href="http://lists.freeradius.org/pipermail/freeradius-users/attachments/20141001/cc61eb8c/attachment.html" target="_blank">http://lists.freeradius.org/pipermail/freeradius-users/attachments/20141001/cc61eb8c/attachment.html</a>><br>

<br>

------------------------------<br>

<br>

-<br>

List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/list/users.html</a><br>

<br>

End of Freeradius-Users Digest, Vol 114, Issue 1<br>

************************************************<br>

</blockquote></div><br></div>