<FONT face="Default Sans Serif, Verdana, Arial, Helvetica, sans-serif" size=2><FONT face="Default Sans Serif, Verdana, Arial, Helvetica, sans-serif" size=2><DIV>Hugh</DIV><DIV>&nbsp;</DIV><DIV>Here is the copy the trace 4 debug. As you can see we are using a user called "radius". This user is not a member of the group "Dialup" and should be rejected.</DIV><DIV>&nbsp;</DIV><DIV>We downloaded the updated file AuthNT.pm. We have not tested this yet but will soon and I will feed back our success&nbsp;to you for expired passwords. </DIV><DIV>&nbsp;</DIV><DIV>Thanks</DIV><DIV>Richard&nbsp;</DIV><DIV>&nbsp;</DIV><DIV>&nbsp;</DIV><DIV><FONT size=2><P>Fri Jul 12 15:05:37 2002: DEBUG: Reading users file /usr/local/etc/radius/users</P><P>Fri Jul 12 15:05:38 2002: INFO: Server started: Radiator 3.1 on KWGENLX01</P><P>Wed Jul 17 20:18:22 2002: DEBUG: Packet dump:</P><P>*** Received from 127.0.0.1 port 32903 ....</P><P>Code: Access-Request</P><P>Identifier: 96</P><P>Authentic: 1234567890123456</P><P>Attributes:</P><P>User-Name = "radius"</P><P>Service-Type = Framed-User</P><P>NAS-IP-Address = 203.63.154.1</P><P>NAS-Port = 1234</P><P>Called-Station-Id = "123456789"</P><P>Calling-Station-Id = "987654321"</P><P>NAS-Port-Type = Async</P><P>User-Password =   "&lt;137&gt;&lt;234&gt;,&lt;222&gt;&lt;216&gt;3v&lt;146&gt;&lt;188&gt;8&lt;9&gt;&lt;160&gt;&lt;216&gt;}x&lt;153&gt;"</P><P>Wed Jul 17 20:18:22 2002: DEBUG: Handling request with Handler 'Realm=DEFAULT'</P><P>Wed Jul 17 20:18:22 2002: DEBUG: Deleting session for radius, 203.63.154.1, 1234</P><P>Wed Jul 17 20:18:22 2002: DEBUG: Handling with Radius::AuthFILE: CheckUsers</P><P>Wed Jul 17 20:18:22 2002: DEBUG: Radius::AuthFILE looks for match with radius</P><P>Wed Jul 17 20:18:22 2002: DEBUG: Radius::AuthFILE looks for match with DEFAULT</P><P>Wed Jul 17 20:18:22 2002: DEBUG: Handling with NT</P><P>Wed Jul 17 20:18:22 2002: DEBUG: Radius::AuthFILE ACCEPT: </P><P>Wed Jul 17 20:18:22 2002: DEBUG: Access accepted for radius</P><P>Wed Jul 17 20:18:22 2002: WARNING: No such attribute Framed-Protocal</P><P>Wed Jul 17 20:18:22 2002: DEBUG: Packet dump:</P><P>*** Sending to 127.0.0.1 port 32903 ....</P><P>Code: Access-Accept</P><P>Identifier: 96</P><P>Authentic: 1234567890123456</P><P>Attributes:</P><P>Service-Type = Framed-User</P><P>Framed-Protocal = PPP</P><P>Framed-IP-Address = 255.255.255.254</P><P>Framed-IP-Netmask = 255.255.255.255</P><P>Wed Jul 17 20:18:22 2002: DEBUG: Packet dump:</P><P>*** Received from 127.0.0.1 port 32903 ....</P><P>Code: Accounting-Request</P><P>Identifier: 97</P><P>Authentic: &lt;216&gt;!&lt;211&gt;&lt;234&gt;&lt;146&gt;&lt;8&gt;!&lt;231&gt;&lt;131&gt;DC&lt;4&gt;-&lt;214&gt;&lt;16&gt;p</P><P>Attributes:</P><P>User-Name = "radius"</P><P>Service-Type = Framed-User</P><P>NAS-IP-Address = 203.63.154.1</P><P>NAS-Port = 1234</P><P>NAS-Port-Type = Async</P><P>Acct-Session-Id = "00001234"</P><P>Acct-Status-Type = Start</P><P>Called-Station-Id = "123456789"</P><P>Calling-Station-Id = "987654321"</P><P>Framed-IP-Address = 255.255.255.254</P><P>Acct-Delay-Time = 0</P><P>Wed Jul 17 20:18:22 2002: DEBUG: Handling request with Handler 'Realm=DEFAULT'</P><P>Wed Jul 17 20:18:22 2002: DEBUG: Adding session for radius, 203.63.154.1, 1234</P><P>Wed Jul 17 20:18:22 2002: DEBUG: Handling with Radius::AuthFILE: CheckUsers</P><P>Wed Jul 17 20:18:22 2002: DEBUG: Accounting accepted</P><P>Wed Jul 17 20:18:22 2002: DEBUG: Packet dump:</P><P>*** Sending to 127.0.0.1 port 32903 ....</P><P>Code: Accounting-Response</P><P>Identifier: 97</P><P>Authentic: &lt;216&gt;!&lt;211&gt;&lt;234&gt;&lt;146&gt;&lt;8&gt;!&lt;231&gt;&lt;131&gt;DC&lt;4&gt;-&lt;214&gt;&lt;16&gt;p</P><P>Attributes:</P><P>Wed Jul 17 20:18:22 2002: DEBUG: Packet dump:</P><P>*** Received from 127.0.0.1 port 32903 ....</P><P>Code: Accounting-Request</P><P>Identifier: 98</P><P>Authentic: &lt;180&gt;&lt;189&gt;&lt;208&gt;&lt;251&gt;&lt;201&gt;\5A@K&lt;0&gt;f&lt;210&gt;&lt;186&gt;n&lt;217&gt;</P><P>Attributes:</P><P>User-Name = "radius"</P><P>Service-Type = Framed-User</P><P>NAS-IP-Address = 203.63.154.1</P><P>NAS-Port = 1234</P><P>NAS-Port-Type = Async</P><P>Acct-Session-Id = "00001234"</P><P>Acct-Status-Type = Stop</P><P>Called-Station-Id = "123456789"</P><P>Calling-Station-Id = "987654321"</P><P>Framed-IP-Address = 255.255.255.254</P><P>Acct-Delay-Time = 0</P><P>Acct-Session-Time = 1000</P><P>Acct-Input-Octets = 20000</P><P>Acct-Output-Octets = 30000</P><P>Wed Jul 17 20:18:22 2002: DEBUG: Handling request with Handler 'Realm=DEFAULT'</P><P>Wed Jul 17 20:18:22 2002: DEBUG: Deleting session for radius, 203.63.154.1, 1234</P><P>Wed Jul 17 20:18:22 2002: DEBUG: Handling with Radius::AuthFILE: CheckUsers</P><P>Wed Jul 17 20:18:22 2002: DEBUG: Accounting accepted</P><P>Wed Jul 17 20:18:22 2002: DEBUG: Packet dump:</P><P>*** Sending to 127.0.0.1 port 32903 ....</P><P>Code: Accounting-Response</P><P>Identifier: 98</P><P>Authentic: &lt;180&gt;&lt;189&gt;&lt;208&gt;&lt;251&gt;&lt;201&gt;\5A@K&lt;0&gt;f&lt;210&gt;&lt;186&gt;n&lt;217&gt;</P><P>Attributes:</P></FONT></DIV><DIV>&nbsp;</DIV><DIV>&nbsp;</DIV><DIV>&nbsp;</DIV><FONT color=#990099>-----Forwarded by Richard Challinor/Perth/KAZ/AU on 07/18/2002 09:39AM -----<BR><BR></FONT>To: radiator@open.com.au<BR>From: owner-radiator@open.com.au<BR>Date: 07/11/2002 05:15PM<BR>Subject: Re: (RADIATOR) Auth by NT group &amp; Radius rejects expired passwords<BR><BR><FONT face="Default Sans Serif, Verdana, Arial, Helvetica, sans-serif" size=2><DIV>Hugh</DIV><DIV>&nbsp;</DIV><DIV>I made the changes as sugested. I used the sample cfg file you sent me previouly and used the examples Ash provided us. When using radius pwtest it checks the username and password aganist NT domain OK. But still dose not check if the user is in the NT group. Could you have a look at our new config files attached&nbsp;and tell us were we are going wrong.</DIV><DIV>&nbsp;</DIV><DIV>Thanks</DIV><DIV>Richard Challinor&nbsp;</DIV><DIV>&nbsp;</DIV><DIV><FONT size=2><P># define AuthBy clauses</P><P>&nbsp;</P><P>&nbsp;</P><P>&lt;AuthBy NT&gt;</P><P>Identifier CheckPrimary</P><P>Domain KWI_CSBP</P><P>DomainController KWI_NT5</P><P></P><P>&lt;/AuthBy&gt;</P><P>&lt;AuthBy NT&gt;</P><P></P><P>Identifier CheckBackup</P><P>Domain KWI_CSBP</P><P>DomainController KWDRPNT01</P><P></P><P>&lt;/AuthBy&gt;</P><P>&nbsp;</P><P>&lt;AuthBy FILE&gt;</P><P></P><P>Identifier CheckUsers</P><P>Filename /usr/local/etc/radius/users</P><P>AddToReply Service-Type = Framed-User, \</P><P>Framed-Protocal = PPP, \</P><P>Framed-IP-Address = 255.255.255.254, \</P><P>Framed-IP-Netmask = 255.255.255.255</P><P>&lt;/AuthBy&gt;</P><P>&lt;Realm DEFAULT&gt;</P><P>AuthBy CheckUsers </P><P># Log accounting to a detail file</P><P>AcctLogFileName %L/detail</P><P></P><P>&lt;/Realm&gt;</P></FONT></DIV><DIV>&nbsp;</DIV><DIV><FONT size=2>&nbsp;</DIV><DIV><P># Full copy of users our "users"&nbsp;file below</P><P>DEFAULT Auth-Type = CheckPrimary, Group = Dialup</P><P>DEFAULT Auth-Type = CheckBackup, Group =       Dialup</P></FONT><BR>&nbsp;</DIV><FONT color=#990099>-----owner-radiator@open.com.au wrote: -----<BR><BR></FONT>To: Richard_Challinor@kaz.com.au, radiator@open.com.au<BR>From: owner-radiator@open.com.au<BR>Date: 06/29/2002 09:00AM<BR>Subject: Re: (RADIATOR) Auth by NT group &amp; Radius rejects expired passwords<BR><BR><PRE>Hello Richard -I notice that Ashley Kent has already sent you an example (thanks Ash).You should also note that there is a patched version of AuthNT.pm for Radiator 3.1 that implements a number of new flags for dealing with password expiry, etc.Finally, there is usually no way to prompt a client for anything as the dialup client doesn't display any return messages (ie: Microsoft).regardsHughOn Fri, 28 Jun 2002 15:16, Richard_Challinor@kaz.com.au wrote:&gt; We would like Radiator to auth to an NT group on the Domain. But we are&gt; unsure of how to get it working. We have been trying to use the Group =&gt; XXX, but we must have the syntax wrong. If we could get an example&gt; Radius.cfg to copy from someone it would help heaps.&gt;&gt; We also have an issue were Radiator rejects expired passwords for clients&gt; logging on. Is there a way to have the client prompted to change the&gt; expired password when dialing in.&gt;&gt; I have included a copy of our radius.cfg. Please make explanations simple&gt; as we are newbies. :-)&gt;&gt; Thanks&gt; Richard&gt;&gt;&gt; # define AuthBy clauses&gt;&gt; &lt;Realm DEFAULT&gt;&gt; &lt;AuthBy NT&gt;&gt;&gt; Identifier CheckPrimary&gt;           Domain KWI_CSBP&gt;           DomainController KWI_NT5&gt;&gt;      &lt;/AuthBy&gt;&gt;&gt; &lt;AuthBy NT&gt;&gt; Identifier CheckBackup&gt;           Domain KWI_CSBP&gt;           DomainController KWDRPNT01&gt;&gt;      &lt;/AuthBy&gt;&gt;&gt;&gt;         &lt;AuthBy NT&gt;&gt;                 AddToReply Service-Type = Framed-User, \&gt;           Framed-Protocal = PPP, \&gt;           Framed-IP-Address = 255.255.255.254, \&gt;           Framed-IP-Netmask = 255.255.255.255&gt;      &lt;/AuthBy&gt;&gt;&gt; # Log accounting to a detail file&gt;      AcctLogFileName %L/detail&gt;&gt; &lt;/Realm&gt;&gt;&gt;&gt;&gt; ===&gt; Archive at <a href="http://www.open.com.au/archives/radiator/" target=blank>http://www.open.com.au/archives/radiator/</a>&gt; Announcements on radiator-announce@open.com.au&gt; To unsubscribe, email 'majordomo@open.com.au' with&gt; 'unsubscribe radiator' in the body of the message.-- Radiator: the most portable, flexible and configurable RADIUS serveranywhere. Available on *NIX, *BSD, Windows 95/98/2000, NT, MacOS X.-Nets: internetwork inventory and management - graphical, extensible,flexible with hardware, software, platform and database independence.===Archive at <a href="http://www.open.com.au/archives/radiator/" target=blank>http://www.open.com.au/archives/radiator/</a>Announcements on radiator-announce@open.com.auTo unsubscribe, email 'majordomo@open.com.au' with'unsubscribe radiator' in the body of the message.</PRE></FONT></FONT></FONT>=Archive at http://www.open.com.au/archives/radiator/
Announcements on radiator-announce@open.com.au
To unsubscribe, email 'majordomo@open.com.au' with
'unsubscribe radiator' in the body of the message.