<div dir="ltr">On Mon, Jan 5, 2015 at 2:26 PM, Alan DeKok <span dir="ltr"><<a href="mailto:aland@deployingradius.com" target="_blank">aland@deployingradius.com</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="">On Jan 5, 2015, at 9:23 AM, Phil Mayers <<a href="mailto:p.mayers@imperial.ac.uk">p.mayers@imperial.ac.uk</a>> wrote:<br>
> It would be helpful to have a reference as to why unadorned EAP messages, without a Service-Type, are harmful. Anyone know of one?<br>
<br>
</span>  Nope.  There is a “Service-Type = IEEE-802.1X”.  That should be used for 802.1X.  But not many vendors use it that I’ve seen.<br>
<br>
  Perhaps a better solution would be to have a Service-Type dedicated to MAC authentication.  Then it wouldn’t matter what authentication method was being used.  Sadly, it’s too late for that.</blockquote><div><br></div><div>Indeed, most vendors will just use a Service-Type of Framed.<br></div><div><br><div>For MAC auth, assuming it is not being used for something else by a NAS, advice that Call-Check is the most appropriate Service-Type to use as the Calling-Station-Id contains the client MAC address may be helpful.<br><br></div>Nick <br></div></div><br></div></div>