
<html>

  <head>

    <meta content="text/html; charset=ISO-8859-1"

      http-equiv="Content-Type">

  </head>

  <body bgcolor="#FFFFFF" text="#000000">

    :) Rando,<br>

    <br>

    There has been much discussion on this list about that problem. IF

    you are using Cisco WLC, there is a flaw in the way radius is

    processed which could lead to these log messages. Here is the

    previous set of threads that have some pointers as to what to look

    at.<br>

    <br>

    Cisco WLCs use the same source port and the 8-bit ID that is used to

    track radius conversations during peak times, gets cycled so fast

    that it creates duplicates where there really shouldn't be. We are

    pushing Cisco hard to fix this flaw in their design especially since

    they are creating controllers with more and more capacity. The

    problem is only going to get worse.<br>

    <br>

    I highly suggest you move to radius 2.2.5 and enable the ntlm_auth

    timeout and upgrade your samba to 3.6 where you can add some

    additional parameters. Here are some hints that Phil Huxley shared

    with us that have been helpful in making our services better. The

    issues haven't been handled 100%, and there are other things to

    consider like if using a Cisco WLC, enabling client exclusion, etc,

    etc but I don't have a ton of info on that as I just run the radius

    servers.<br>

    <br>

<a class="moz-txt-link-freetext" href="http://lists.freeradius.org/pipermail/freeradius-users/2014-September/073929.html">http://lists.freeradius.org/pipermail/freeradius-users/2014-September/073929.html</a><br>

    <br>

    - John Douglass @ Georgia Tech<br>

    <br>

    PS: I really need to write up a blog post about this :) <br>

    PSS: Yes we know AD is slow and it sucks as a backend but for a lot

    of us, it's what we have to deal with :)<br>

    <br>

    <br>

    <div class="moz-cite-prefix">On 10/02/2014 11:10 AM, Rando Nakarmi

      wrote:<br>

    </div>

    <blockquote

cite="mid:CAG+85v_a4WoA_cOaKzuZm-iLz0xX4enpiN+4N9s0AE-8QO91-g@mail.gmail.com"

      type="cite">

      <meta http-equiv="Content-Type" content="text/html;

        charset=ISO-8859-1">

      <div dir="ltr">

        <div>I been seeing quite a large number of message like below

          logged in radius.log lately.</div>

        <div><br>

        </div>

        Discarding duplicate request from client classroom98 port 32880

        - ID: 131 due to unfinished request 241848<br>

        <div><br>

        </div>

        <div>I read some thread, this might be the case when back-end

          server (i.e auth servers) are too slow to respond. </div>

        <div><br>

        </div>

        <div>My back-end is AD, using ntlm_auth. </div>

        <div>radius version 2.1.12-4</div>

        <div>samba version 3.5.8-68</div>

        <div><br>

        </div>

        <div>Any hints or suggestion how to resolve this would be very

          helpful.</div>

        <div><br>

        </div>

        <div>Most of the users get authenticated ( I don't think

          ntlm_auth is responding slow), I could not figure this out</div>

        <div><br>

        </div>

        <div>--cheers,</div>

        <div>Rando</div>

      </div>

      <br>

      <fieldset class="mimeAttachmentHeader"></fieldset>

      <br>

      <pre wrap="">-

List info/subscribe/unsubscribe? See <a class="moz-txt-link-freetext" href="http://www.freeradius.org/list/users.html">http://www.freeradius.org/list/users.html</a></pre>

    </blockquote>

    <br>

  </body>

</html>