<div dir="ltr">On Wed, Dec 31, 2014 at 3:34 PM, Alan DeKok <span dir="ltr"><<a href="mailto:aland@deployingradius.com" target="_blank">aland@deployingradius.com</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="">On Dec 30, 2014, at 10:58 AM, sb <<a href="mailto:superabx@gmail.com">superabx@gmail.com</a>> wrote:<br>
> Thank you, Alan! I will try to upgrade to 2.2.6.<br>
<br>
</span>  That’s really the best solution.<br></blockquote><div><br></div><div>Upgraded to 2.2.6, nothing changes.<br><br>=======================================================================================================<br><br># radiusd -v<br>radiusd: FreeRADIUS Version 2.2.6, for host x86_64-unknown-linux-gnu, built on Jan  2 2015 at 13:43:16<br><br><pre style="margin:0px;padding:0px"><code class="">rad_recv: Access-Request packet from host 127.0.0.1 port 32834, id=32, length=55<br>     User-Name = "abx"<br>   User-Password = "n***********W"<br>     NAS-IP-Address = 192.168.203.235<br>      NAS-Port = 0<br># Executing section authorize from file /usr/local/etc/raddb/sites-enabled/default<br>+group authorize {<br>++[preprocess] = ok<br>[auth_log]   expand: %{Packet-Src-IP-Address} -> 127.0.0.1<br>[auth_log]    expand: /usr/local/var/log/radius/radacct/%{%{Packet-Src-IP-Address}:-%{Packet-Src-IPv6-Address}}/auth-detail-%Y%m%d -> /usr/local/var/log/radius/radacct/<a href="http://127.0.0.1/auth-detail-20150102">127.0.0.1/auth-detail-20150102</a><br>[auth_log] /usr/local/var/log/radius/radacct/%{%{Packet-Src-IP-Address}:-%{Packet-Src-IPv6-Address}}/auth-detail-%Y%m%d expands to /usr/local/var/log/radius/radacct/<a href="http://127.0.0.1/auth-detail-20150102">127.0.0.1/auth-detail-20150102</a><br>[auth_log]        expand: %t -> Fri Jan  2 15:07:04 2015<br>++[auth_log] = ok<br>++[chap] = noop<br>++[mschap] = noop<br>[suffix] No '@' in User-Name = "abx", looking up realm NULL<br>[suffix] No such realm "NULL"<br>++[suffix] = noop<br>[eap] No EAP-Message, not doing EAP<br>++[eap] = noop<br>++[files] = noop<br>++policy redundant {<br>[local] performing user authorization for abx<br>[local]        expand: %{Stripped-User-Name} -> <br>[local]   ... expanding second conditional<br>[local]       expand: %{User-Name} -> abx<br>[local]         expand: (uid=%{%{Stripped-User-Name}:-%{User-Name}}) -> (uid=abx)<br>[local]   expand: dc=ourcorp,dc=net -> dc=ourcorp,dc=net<br>  [local] ldap_get_conn: Checking Id: 0<br>  [local] ldap_get_conn: Got Id: 0<br>  [local] attempting LDAP reconnection<br>  [local] (re)connect to localhost:389, authentication 0<br>  [local] setting TLS CACert File to certs/ourcorp.net.ca.cer<br>  [local] setting TLS CACert Directory to /etc/ssl/certs<br>  [local] setting TLS Cert File to certs/wildcard.ourcorp.net.cer<br>  [local] setting TLS Key File to certs/wildcard.ourcorp.net.key<br>  [local] bind as cn=readuser,dc=ourcorp,dc=net/******* to localhost:389<br>  [local] waiting for bind result ...<br>  [local] Bind was successful<br>  [local] performing search in dc=ourcorp,dc=net, with filter (uid=abx)<br>[local] checking if remote access for abx is allowed by dialupAccess<br>[local] Added User-Password = 1D*********************9B in check items<br>[local] looking for check items in directory...<br>  [local] sambaNtPassword -> NT-Password == 0x31**********************************************************42<br>  [local] sambaLmPassword -> LM-Password == 0x42**********************************************************36<br>[local] looking for reply items in directory...<br>  [local] radiusFramedIPAddress -> Framed-IP-Address = 10.0.0.198<br>[local] user abx authorized to use remote access<br>  [local] ldap_release_conn: Release Id: 0<br>+++[local] = ok<br>++} # policy redundant = ok<br>++[expiration] = noop<br>++[logintime] = noop<br>[pap] Normalizing NT-Password from hex encoding<br>[pap] Normalizing LM-Password from hex encoding<br>++[pap] = updated<br>+} # group authorize = updated<br>Found Auth-Type = PAP<br>!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!<br>!!!    Replacing User-Password in config items with Cleartext-Password.     !!!<br>!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!<br>!!! Please update your configuration so that the "known good"               !!!<br>!!! clear text password is in Cleartext-Password, and not in User-Password. !!!<br>!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!<br># Executing group from file /usr/local/etc/raddb/sites-enabled/default<br>+group PAP {<br>[pap] login attempt with password "n**************W"<br>[pap] Using clear text password "1D********************9B"<br>[pap] Passwords don't match<br>++[pap] = reject<br>+} # group PAP = reject<br>Failed to authenticate the user.<br>Using Post-Auth-Type REJECT<br># Executing group from file /usr/local/etc/raddb/sites-enabled/default<br>+group REJECT {<br>[attr_filter.access_reject]       expand: %{User-Name} -> abx<br>attr_filter: Matched entry DEFAULT at line 11<br>++[attr_filter.access_reject] = updated<br>+} # group REJECT = updated<br>Delaying reject of request 0 for 1 seconds<br>Going to the next request<br>Waking up in 0.9 seconds.<br>Sending delayed reject for request 0<br>Sending Access-Reject of id 32 to 127.0.0.1 port 32834<br>Waking up in 4.9 seconds.<br>Cleaning up request 0 ID 32 with timestamp +4<br>Ready to process requests.<br>============================================================================<br></code></pre><br><br></div><div>I can not understand why is this:<br><br><code class="">[local] Added User-Password = 1D*********************9B in check items<br><br></code></div><div><code class=""><br></code></div><div>There is nothing of User-Password in ldap.attrmap, why the radius adds it from sambaLmPassword?<br></div><div>I can not put cleartext passwords in LDAP, so I have to work with NT-hashed passwords only. <br></div><div>So, how to tell the radius that User-Password and Cleartext-Password are empty and it has to operate with NT-Password?<br></div><div>I believe it should be smth simple that I forgot to do...<br></div><div> <br><br><br></div></div></div></div>