<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<META content="MSHTML 5.50.4916.2300" name=GENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY bgColor=#ffffff>
<DIV>Hello Richard,</DIV>
<DIV>&nbsp;</DIV>
<DIV>Are you running it in a UNIX-based system?&nbsp; If so then NT Global 
Groups (Group check item) are not enforced.</DIV>
<DIV>&nbsp;</DIV>
<DIV>FYI, The Group check item does not work with Local Groups.</DIV>
<DIV>&nbsp;</DIV>
<DIV>Regards,</DIV>
<DIV>&nbsp;</DIV>
<DIV>Neil D. Quiogue<BR>&nbsp;<BR>"Information and attachments herein are 
intended for the named recipients<BR>only.&nbsp; It may contain attorney-client 
privileged or confidential matter.<BR>If you have received this message in 
error, please notify the sender<BR>immediately, and destroy the original 
message.&nbsp; Do not disclose the<BR>contents to anyone.&nbsp; Thank 
you."</DIV>
<BLOCKQUOTE 
style="PADDING-RIGHT: 0px; PADDING-LEFT: 5px; MARGIN-LEFT: 5px; BORDER-LEFT: #000000 2px solid; MARGIN-RIGHT: 0px">
  <DIV style="FONT: 10pt arial">----- Original Message ----- </DIV>
  <DIV 
  style="BACKGROUND: #e4e4e4; FONT: 10pt arial; font-color: black"><B>From:</B> 
  <A title=Richard_Challinor@kaz.com.au 
  href="mailto:Richard_Challinor@kaz.com.au">Richard_Challinor@kaz.com.au</A> 
  </DIV>
  <DIV style="FONT: 10pt arial"><B>To:</B> <A title=radiator@open.com.au 
  href="mailto:radiator@open.com.au">radiator@open.com.au</A> </DIV>
  <DIV style="FONT: 10pt arial"><B>Sent:</B> Thursday, July 18, 2002 10:02 
  AM</DIV>
  <DIV style="FONT: 10pt arial"><B>Subject:</B> Re: (RADIATOR) Auth by NT group 
  &amp; Radius rejects expired passwords</DIV>
  <DIV><BR></DIV><FONT 
  face="Default Sans Serif, Verdana, Arial, Helvetica, sans-serif" size=2><FONT 
  face="Default Sans Serif, Verdana, Arial, Helvetica, sans-serif" size=2>
  <DIV>Hugh</DIV>
  <DIV>&nbsp;</DIV>
  <DIV>Here is the copy the trace 4 debug. As you can see we are using a user 
  called "radius". This user is not a member of the group "Dialup" and should be 
  rejected.</DIV>
  <DIV><FONT face="Times New Roman" size=3></FONT>&nbsp;</DIV>
  <DIV>We downloaded the updated file AuthNT.pm. We have not tested this yet but 
  will soon and I will feed back our success&nbsp;to you for expired passwords. 
  </DIV>
  <DIV>&nbsp;</DIV>
  <DIV>Thanks</DIV>
  <DIV>Richard&nbsp;</DIV>
  <DIV>&nbsp;</DIV>
  <DIV>&nbsp;</DIV>
  <DIV><FONT size=2>
  <P>Fri Jul 12 15:05:37 2002: DEBUG: Reading users file 
  /usr/local/etc/radius/users</P>
  <P>Fri Jul 12 15:05:38 2002: INFO: Server started: Radiator 3.1 on 
  KWGENLX01</P>
  <P>Wed Jul 17 20:18:22 2002: DEBUG: Packet dump:</P>
  <P>*** Received from 127.0.0.1 port 32903 ....</P>
  <P>Code: Access-Request</P>
  <P>Identifier: 96</P>
  <P>Authentic: 1234567890123456</P>
  <P>Attributes:</P>
  <P>User-Name = "radius"</P>
  <P>Service-Type = Framed-User</P>
  <P>NAS-IP-Address = 203.63.154.1</P>
  <P>NAS-Port = 1234</P>
  <P>Called-Station-Id = "123456789"</P>
  <P>Calling-Station-Id = "987654321"</P>
  <P>NAS-Port-Type = Async</P>
  <P>User-Password = 
  "&lt;137&gt;&lt;234&gt;,&lt;222&gt;&lt;216&gt;3v&lt;146&gt;&lt;188&gt;8&lt;9&gt;&lt;160&gt;&lt;216&gt;}x&lt;153&gt;"</P>
  <P>Wed Jul 17 20:18:22 2002: DEBUG: Handling request with Handler 
  'Realm=DEFAULT'</P>
  <P>Wed Jul 17 20:18:22 2002: DEBUG: Deleting session for radius, 203.63.154.1, 
  1234</P>
  <P>Wed Jul 17 20:18:22 2002: DEBUG: Handling with Radius::AuthFILE: 
  CheckUsers</P>
  <P>Wed Jul 17 20:18:22 2002: DEBUG: Radius::AuthFILE looks for match with 
  radius</P>
  <P>Wed Jul 17 20:18:22 2002: DEBUG: Radius::AuthFILE looks for match with 
  DEFAULT</P>
  <P>Wed Jul 17 20:18:22 2002: DEBUG: Handling with NT</P>
  <P>Wed Jul 17 20:18:22 2002: DEBUG: Radius::AuthFILE ACCEPT: </P>
  <P>Wed Jul 17 20:18:22 2002: DEBUG: Access accepted for radius</P>
  <P>Wed Jul 17 20:18:22 2002: WARNING: No such attribute Framed-Protocal</P>
  <P>Wed Jul 17 20:18:22 2002: DEBUG: Packet dump:</P>
  <P>*** Sending to 127.0.0.1 port 32903 ....</P>
  <P>Code: Access-Accept</P>
  <P>Identifier: 96</P>
  <P>Authentic: 1234567890123456</P>
  <P>Attributes:</P>
  <P>Service-Type = Framed-User</P>
  <P>Framed-Protocal = PPP</P>
  <P>Framed-IP-Address = 255.255.255.254</P>
  <P>Framed-IP-Netmask = 255.255.255.255</P>
  <P>Wed Jul 17 20:18:22 2002: DEBUG: Packet dump:</P>
  <P>*** Received from 127.0.0.1 port 32903 ....</P>
  <P>Code: Accounting-Request</P>
  <P>Identifier: 97</P>
  <P>Authentic: 
  &lt;216&gt;!&lt;211&gt;&lt;234&gt;&lt;146&gt;&lt;8&gt;!&lt;231&gt;&lt;131&gt;DC&lt;4&gt;-&lt;214&gt;&lt;16&gt;p</P>
  <P>Attributes:</P>
  <P>User-Name = "radius"</P>
  <P>Service-Type = Framed-User</P>
  <P>NAS-IP-Address = 203.63.154.1</P>
  <P>NAS-Port = 1234</P>
  <P>NAS-Port-Type = Async</P>
  <P>Acct-Session-Id = "00001234"</P>
  <P>Acct-Status-Type = Start</P>
  <P>Called-Station-Id = "123456789"</P>
  <P>Calling-Station-Id = "987654321"</P>
  <P>Framed-IP-Address = 255.255.255.254</P>
  <P>Acct-Delay-Time = 0</P>
  <P>Wed Jul 17 20:18:22 2002: DEBUG: Handling request with Handler 
  'Realm=DEFAULT'</P>
  <P>Wed Jul 17 20:18:22 2002: DEBUG: Adding session for radius, 203.63.154.1, 
  1234</P>
  <P>Wed Jul 17 20:18:22 2002: DEBUG: Handling with Radius::AuthFILE: 
  CheckUsers</P>
  <P>Wed Jul 17 20:18:22 2002: DEBUG: Accounting accepted</P>
  <P>Wed Jul 17 20:18:22 2002: DEBUG: Packet dump:</P>
  <P>*** Sending to 127.0.0.1 port 32903 ....</P>
  <P>Code: Accounting-Response</P>
  <P>Identifier: 97</P>
  <P>Authentic: 
  &lt;216&gt;!&lt;211&gt;&lt;234&gt;&lt;146&gt;&lt;8&gt;!&lt;231&gt;&lt;131&gt;DC&lt;4&gt;-&lt;214&gt;&lt;16&gt;p</P>
  <P>Attributes:</P>
  <P>Wed Jul 17 20:18:22 2002: DEBUG: Packet dump:</P>
  <P>*** Received from 127.0.0.1 port 32903 ....</P>
  <P>Code: Accounting-Request</P>
  <P>Identifier: 98</P>
  <P>Authentic: 
  &lt;180&gt;&lt;189&gt;&lt;208&gt;&lt;251&gt;&lt;201&gt;\5A@K&lt;0&gt;f&lt;210&gt;&lt;186&gt;n&lt;217&gt;</P>
  <P>Attributes:</P>
  <P>User-Name = "radius"</P>
  <P>Service-Type = Framed-User</P>
  <P>NAS-IP-Address = 203.63.154.1</P>
  <P>NAS-Port = 1234</P>
  <P>NAS-Port-Type = Async</P>
  <P>Acct-Session-Id = "00001234"</P>
  <P>Acct-Status-Type = Stop</P>
  <P>Called-Station-Id = "123456789"</P>
  <P>Calling-Station-Id = "987654321"</P>
  <P>Framed-IP-Address = 255.255.255.254</P>
  <P>Acct-Delay-Time = 0</P>
  <P>Acct-Session-Time = 1000</P>
  <P>Acct-Input-Octets = 20000</P>
  <P>Acct-Output-Octets = 30000</P>
  <P>Wed Jul 17 20:18:22 2002: DEBUG: Handling request with Handler 
  'Realm=DEFAULT'</P>
  <P>Wed Jul 17 20:18:22 2002: DEBUG: Deleting session for radius, 203.63.154.1, 
  1234</P>
  <P>Wed Jul 17 20:18:22 2002: DEBUG: Handling with Radius::AuthFILE: 
  CheckUsers</P>
  <P>Wed Jul 17 20:18:22 2002: DEBUG: Accounting accepted</P>
  <P>Wed Jul 17 20:18:22 2002: DEBUG: Packet dump:</P>
  <P>*** Sending to 127.0.0.1 port 32903 ....</P>
  <P>Code: Accounting-Response</P>
  <P>Identifier: 98</P>
  <P>Authentic: 
  &lt;180&gt;&lt;189&gt;&lt;208&gt;&lt;251&gt;&lt;201&gt;\5A@K&lt;0&gt;f&lt;210&gt;&lt;186&gt;n&lt;217&gt;</P>
  <P>Attributes:</P></FONT></DIV>
  <DIV><FONT face="Times New Roman" size=3></FONT>&nbsp;</DIV>
  <DIV>&nbsp;</DIV>
  <DIV>&nbsp;</DIV><FONT color=#990099>-----Forwarded by Richard 
  Challinor/Perth/KAZ/AU on 07/18/2002 09:39AM -----<BR><BR></FONT>To: 
  radiator@open.com.au<BR>From: owner-radiator@open.com.au<BR>Date: 07/11/2002 
  05:15PM<BR>Subject: Re: (RADIATOR) Auth by NT group &amp; Radius rejects 
  expired passwords<BR><BR><FONT 
  face="Default Sans Serif, Verdana, Arial, Helvetica, sans-serif" size=2>
  <DIV>Hugh</DIV>
  <DIV>&nbsp;</DIV>
  <DIV>I made the changes as sugested. I used the sample cfg file you sent me 
  previouly and used the examples Ash provided us. When using radius pwtest it 
  checks the username and password aganist NT domain OK. But still dose not 
  check if the user is in the NT group. Could you have a look at our new config 
  files attached&nbsp;and tell us were we are going wrong.</DIV>
  <DIV>&nbsp;</DIV>
  <DIV>Thanks</DIV>
  <DIV>Richard Challinor&nbsp;</DIV>
  <DIV>&nbsp;</DIV>
  <DIV><FONT size=2>
  <P># define AuthBy clauses</P>
  <P><FONT face="Times New Roman" size=3></FONT>&nbsp;</P>
  <P><FONT face="Times New Roman" size=3></FONT>&nbsp;</P>
  <P>&lt;AuthBy NT&gt;</P>
  <P>Identifier CheckPrimary</P>
  <P>Domain KWI_CSBP</P>
  <P>DomainController KWI_NT5</P>
  <P></P>
  <P>&lt;/AuthBy&gt;</P>
  <P>&lt;AuthBy NT&gt;</P>
  <P></P>
  <P>Identifier CheckBackup</P>
  <P>Domain KWI_CSBP</P>
  <P>DomainController KWDRPNT01</P>
  <P></P>
  <P>&lt;/AuthBy&gt;</P>
  <P><FONT face="Times New Roman" size=3></FONT>&nbsp;</P>
  <P>&lt;AuthBy FILE&gt;</P>
  <P></P>
  <P>Identifier CheckUsers</P>
  <P>Filename /usr/local/etc/radius/users</P>
  <P>AddToReply Service-Type = Framed-User, \</P>
  <P>Framed-Protocal = PPP, \</P>
  <P>Framed-IP-Address = 255.255.255.254, \</P>
  <P>Framed-IP-Netmask = 255.255.255.255</P>
  <P>&lt;/AuthBy&gt;</P>
  <P>&lt;Realm DEFAULT&gt;</P>
  <P>AuthBy CheckUsers </P>
  <P># Log accounting to a detail file</P>
  <P>AcctLogFileName %L/detail</P>
  <P></P>
  <P>&lt;/Realm&gt;</P></FONT></DIV>
  <DIV>&nbsp;</DIV>
  <DIV><FONT size=2>&nbsp;</DIV>
  <DIV>
  <P># Full copy of users our "users"&nbsp;file below</P>
  <P>DEFAULT Auth-Type = CheckPrimary, Group = Dialup</P>
  <P>DEFAULT Auth-Type = CheckBackup, Group = 
  Dialup</P></FONT><BR>&nbsp;</DIV><FONT 
  color=#990099>-----owner-radiator@open.com.au wrote: -----<BR><BR></FONT>To: 
  Richard_Challinor@kaz.com.au, radiator@open.com.au<BR>From: 
  owner-radiator@open.com.au<BR>Date: 06/29/2002 09:00AM<BR>Subject: Re: 
  (RADIATOR) Auth by NT group &amp; Radius rejects expired passwords<BR><BR><PRE>Hello Richard -I notice that Ashley Kent has already sent you an example (thanks Ash).You should also note that there is a patched version of AuthNT.pm for Radiator 3.1 that implements a number of new flags for dealing with password expiry, etc.Finally, there is usually no way to prompt a client for anything as the dialup client doesn't display any return messages (ie: Microsoft).regardsHughOn Fri, 28 Jun 2002 15:16, Richard_Challinor@kaz.com.au wrote:&gt; We would like Radiator to auth to an NT group on the Domain. But we are&gt; unsure of how to get it working. We have been trying to use the Group =&gt; XXX, but we must have the syntax wrong. If we could get an example&gt; Radius.cfg to copy from someone it would help heaps.&gt;&gt; We also have an issue were Radiator rejects expired passwords for clients&gt; logging on. Is there a way to have the client prompted to change the&gt; expired password when dialing in.&gt;&gt; I have included a copy of our radius.cfg. Please make explanations simple&gt; as we are newbies. :-)&gt;&gt; Thanks&gt; Richard&gt;&gt;&gt; # define AuthBy clauses&gt;&gt; &lt;Realm DEFAULT&gt;&gt; &lt;AuthBy NT&gt;&gt;&gt; Identifier CheckPrimary&gt;           Domain KWI_CSBP&gt;           DomainController KWI_NT5&gt;&gt;      &lt;/AuthBy&gt;&gt;&gt; &lt;AuthBy NT&gt;&gt; Identifier CheckBackup&gt;           Domain KWI_CSBP&gt;           DomainController KWDRPNT01&gt;&gt;      &lt;/AuthBy&gt;&gt;&gt;&gt;         &lt;AuthBy NT&gt;&gt;                 AddToReply Service-Type = Framed-User, \&gt;           Framed-Protocal = PPP, \&gt;           Framed-IP-Address = 255.255.255.254, \&gt;           Framed-IP-Netmask = 255.255.255.255&gt;      &lt;/AuthBy&gt;&gt;&gt; # Log accounting to a detail file&gt;      AcctLogFileName %L/detail&gt;&gt; &lt;/Realm&gt;&gt;&gt;&gt;&gt; ===&gt; Archive at <A target=blank href="http://www.open.com.au/archives/radiator/">http://www.open.com.au/archives/radiator/</A>&gt; Announcements on radiator-announce@open.com.au&gt; To unsubscribe, email 'majordomo@open.com.au' with&gt; 'unsubscribe radiator' in the body of the message.-- Radiator: the most portable, flexible and configurable RADIUS serveranywhere. Available on *NIX, *BSD, Windows 95/98/2000, NT, MacOS X.-Nets: internetwork inventory and management - graphical, extensible,flexible with hardware, software, platform and database independence.===Archive at <A target=blank href="http://www.open.com.au/archives/radiator/">http://www.open.com.au/archives/radiator/</A>Announcements on radiator-announce@open.com.auTo unsubscribe, email 'majordomo@open.com.au' with'unsubscribe radiator' in the body of the message.</PRE></FONT></FONT></FONT>= 
  Archive at http://www.open.com.au/archives/radiator/ Announcements on 
  radiator-announce@open.com.au To unsubscribe, email 'majordomo@open.com.au' 
  with 'unsubscribe radiator' in the body of the message. 
</BLOCKQUOTE></BODY></HTML>