<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Dec 30, 2014 at 5:44 PM, Alan DeKok <span dir="ltr"><<a href="mailto:aland@deployingradius.com" target="_blank">aland@deployingradius.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="">On Dec 30, 2014, at 10:28 AM, sb <<a href="mailto:superabx@gmail.com">superabx@gmail.com</a>> wrote:<br>
> Yes, but how to prevent it? I have nothing about User-Password in freeradius configs:<br>
<br>
</span>  Try version 2.2.6.  The PAP module has been updated to do a better job of discovering which password is where.<br></blockquote><div><br><br>Thank you, Alan! I will try to upgrade to 2.2.6.<br> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
  And you probably want to double-check the *format* of the passwords.  You seem to have put the hashed version of the password into the userPassword field.  Then, taken that, turned it into hex, and put that into the ntPassword field in LDAP.  That’s wrong.<br></blockquote><div><br></div><div>Actually we have no userPassword field in LDAP, the string <br><br>checkitem    Password-With-Header        userPassword<br><br></div><div>should be there from default config. I've commented it out, but got the same. <br></div><div>All that we have in LDAP: <br><br>sambaLMPassword: B4****************************************C6<br>sambaNTPassword: 1D****************************************9B<br><br></div><div>mapped to:<br><br>checkItem    LM-Password            sambaLmPassword<br>checkItem    NT-Password            sambaNtPassword<br><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
  The userPassword field in LDAP should contain the clear-text password.  e.g. “hello”, or “password”.  The ntPassword field in LDAP should contain the hex version of NT hashed password.  e.g. 01abcdef…  OR, the userPassword field in LDAP should contain "{nt}01abcdef…”  The {nt} prefix says that the rest of the password is the NT hash.<br></blockquote><div><br></div><div>Possible I have to add {nt} prefix before the password?<br><br>"checkItem    User-Password            {nt}sambaNtPassword" - that won't work?<br></div><div> <br></div></div></div></div>