
<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Dec 30, 2014 at 5:00 PM, Alan DeKok <span dir="ltr"><<a href="mailto:aland@deployingradius.com" target="_blank">aland@deployingradius.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class=""><br>

> Full output of freeradius -X after command<br>

><br>

</span><span class="">>Â  Â [local] performing search in dc=ourcorp,dc=net, with filter (uid=abx)<br>

> [local] checking if remote access for abx is allowed by dialupAccess<br>

> [local] Added User-Password = 1D*************************************9B in check items<br>

<br>

</span>Â  Andâ€¦ thatâ€™s the issue.Â  Youâ€™ve configured it to get the User-Password from LDAP.<br></blockquote><div><br><br></div><div>Yes, but how to prevent it? I have nothing about User-Password in freeradius configs:<br><br><br></div><div>=================================================================<br>/etc/freeradius# grep -R User-Password *<br>attrs.pre-proxy:#Â Â Â  User-Password =* ANY,<br>attrs.pre-proxy:Â Â Â  #User-Password =* ANY,<br>eap.conf:Â Â Â  Â Â Â  #Â  User-Password, or the NT-Password attributes.<br>eap.conf:Â Â Â  Â Â Â  #Â  the User-Password.<br>eap.conf:Â Â Â  Â Â Â  Â Â Â  #Â  is put into a User-Password attribute,<br>eap.conf:Â Â Â  Â Â Â  Â Â Â  #Â  the module will look for a User-Password<br>experimental.conf:Â Â Â  #Â  packets containing a User-Password attribute.<br>modules/ntlm_auth:Â Â Â  program = "/path/to/ntlm_auth --request-nt-key --domain=MYDOMAIN --username=%{mschap:User-Name} --password=%{User-Password}"<br>modules/smsotp:#Â  The module does not check the User-Password, this should be done with<br>modules/detail:Â Â Â  # Certain attributes such as User-Password may be<br>modules/detail:Â Â Â  Â Â Â  # User-Password<br>modules/sql_log:Â Â Â  Â ('%{User-Name}', '%{User-Password:-Chap-Password}',Â Â Â Â Â Â Â Â  \<br>modules/detail.log:Â Â Â  Â Â Â  User-Password<br>modules/detail.log:Â Â Â  Â Â Â  # User-Password<br>modules/pap:#Â  In this case, the module will look inside of the User-Password<br>modules/ldap:#Â  Access-Request packet contains a clear-text User-Password<br>modules/ldap:Â Â Â  #Â  By default, if the packet contains a User-Password,<br>root@ukv69:/etc/freeradius# <br>===================================================================<br><br></div><div>Everything is commented, exclude ntlm_auth and detail.log, I believe both are not what I have to change.<br><br><br></div><div>ldap.attrmap:<br><br>===================================================================<br></div><div><br>checkItemÂ Â Â  $GENERIC$Â Â Â  Â Â Â  Â Â Â  radiusCheckItem<br>replyItemÂ Â Â  $GENERIC$Â Â Â  Â Â Â  Â Â Â  radiusReplyItem<br><br>checkItemÂ Â Â  Auth-TypeÂ Â Â  Â Â Â  Â Â Â  radiusAuthType<br>checkItemÂ Â Â  Simultaneous-UseÂ Â Â  Â Â Â  radiusSimultaneousUse<br>checkItemÂ Â Â  Called-Station-IdÂ Â Â  Â Â Â  radiusCalledStationId<br>checkItemÂ Â Â  Calling-Station-IdÂ Â Â  Â Â Â  radiusCallingStationId<br>checkItemÂ Â Â  LM-PasswordÂ Â Â  Â Â Â  Â Â Â  lmPassword<br>checkItemÂ Â Â  NT-PasswordÂ Â Â  Â Â Â  Â Â Â  ntPassword<br>checkItemÂ Â Â  LM-PasswordÂ Â Â  Â Â Â  Â Â Â  sambaLmPassword<br>checkItemÂ Â Â  NT-PasswordÂ Â Â  Â Â Â  Â Â Â  sambaNtPassword<br>checkItemÂ Â Â  LM-PasswordÂ Â Â  Â Â Â  Â Â Â  dBCSPwd<br>checkitemÂ Â Â  Password-With-HeaderÂ Â Â  Â Â Â  userPassword<br>checkItemÂ Â Â  SMB-Account-CTRL-TEXTÂ Â Â  Â Â Â  acctFlags<br>checkItemÂ Â Â  ExpirationÂ Â Â  Â Â Â  Â Â Â  radiusExpiration<br>checkItemÂ Â Â  NAS-IP-AddressÂ Â Â  Â Â Â  Â Â Â  radiusNASIpAddress<br><br>====================================================================<br></div><div><br><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">

<span class=""><br>

> [local] No default NMAS login sequence<br>

> [local] looking for check items in directory...<br>

>Â  Â [local] sambaNtPassword -> NT-Password == 0x31***********************************************************************42<br>

<br>

</span>Â  That means itâ€™s not using the NT-Password.<br>

<span class=""><br>

> Found Auth-Type = PAP<br>

> !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!<br>

> !!!Â  Â  Replacing User-Password in config items with Cleartext-Password.Â  Â  Â !!!<br>

> !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!<br>

> !!! Please update your configuration so that the "known good"Â  Â  Â  Â  Â  Â  Â  Â !!!<br>

> !!! clear text password is in Cleartext-Password, and not in User-Password. !!!<br>

> !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!<br>

<br>

</span>Â  It helps to READ these messages and fix the problem.Â  If you had done that, it would have worked.<br></blockquote><div><br></div><div>I've tried, but there is nothing about User-Password in configs, so I can not replace it with Cleartext-Password.<br></div><br><br><br></div></div></div>