<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr">Hello Radiators,<div><br></div><div>we are using EAP authentication (802.1x) inside of  'AuthBy LDAP2', and that surrounded by another 'AuthBy Group'.</div><div><br></div><div><div><AuthBy GROUP></div><div>    Identifier EAP-LDAP</div><div>    RewriteUsername ...</div><div>    <AuthBy LDAP2></div><div>        NoDefault<br></div><div>        AuthenProto EAP<br></div><div>        Host ... ... ...</div><div>        AuthDN ...</div><div>        AuthPassword ...</div><div>        BaseDN ...</div><div>        EAPType TLS</div><div>        (..)</div><div>    </AuthBy></div><div></AuthBy></div></div><div><br></div><div>A handler authenticates through that group first, and by using 'ContinueWhileAccept' it's leveraging another 'AuthBy SQL' to deliver reply-attributes, if any.</div><div><br></div><div><div><Handler Request-Type=Access-Request></div><div>    RewriteUsername ...</div><div>    AuthByPolicy ContinueWhileAccept</div><div>    AuthBy EAP-LDAP</div><div>    AuthBy SQL</div><div></Handler></div></div><div><br></div><div>If I remember correctly putting the EAP into the LDAP2 was something which was necessary to authenticate through EAP while also having a mandatory check on the user in LDAP.</div><div><br></div><div>Now I wonder if it's necessary to decouple EAP and LDAP2 *somehow* (if possible at all) to IGNORE or ACCEPT the LDAP-part when it's servers are for example down (or for any other protocol exception in the LDAP code returning). In short: broken LDAP should not be able to deny access.</div><div><br></div><div>Any ideas about that?</div><div><br></div><div>Thanks</div><div>-- <br></div><div><div dir="ltr" class="gmail_signature"><div dir="ltr"><div dir="ltr"><div dir="ltr">Christian<br></div><br></div></div></div></div></div></div></div></div>