<div dir="ltr"><div dir="ltr"><div>Hi.</div><br><div class="gmail_quote"><div dir="ltr">On Wed, Jan 9, 2019 at 7:16 PM Alfred Reibenschuh <<a href="mailto:alfred.reibenschuh_v-tservices@at.ibm.com" target="_blank">alfred.reibenschuh_v-tservices@at.ibm.com</a>> wrote:</div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div><div>The file dependency is from the goodies directory and i have not found a way to do without.</div></div></blockquote></div><div><br></div><div>let's see if the following configuration is the way to go (but looks kind of bloated to me and unsure if there are cornercase with those IGNORES).</div><div><br></div><div><br></div><div># 1. EAP is mandatory, only ACCEPT should go through (using ContinueWhileAccept)<br></div><div># (unfortunately file dependency)</div><div><AuthBy GROUP><br></div><div><div>    Identifier EAP</div><div>    AuthByPolicy ContinueWhileAccept</div><div>    <AuthBy FILE></div><div>        Filename %D/users.eaptls</div><div>        AuthenProto EAP</div><div>        EAPType TLS</div><div>        [..]</div><div>    </AuthBy></div><div></AuthBy></div><div><br></div><div><div><div># 2. ACCEPT and IGNORE (LDAP failing) should go through (using ContinueUntilReject)</div><div><AuthBy GROUP><br></div></div><div>    Identifier LDAP</div><div>    AuthByPolicy ContinueUntilReject</div><div>    RewriteUsername [..]</div><div>    <AuthBy LDAP2></div><div>        NoEAP</div><div>        NoDefault</div><div>        UsernameAttr CN</div><div>        PasswordAttr</div><div>        [..]</div><div>    </AuthBy></div><div></AuthBy></div></div><div><br></div><div># 3. ACCEPT and IGNORE (SQL failing) should go through (using ContinueUntilReject)<br></div><div><AuthBy GROUP><br></div><div>    Identifier SQL</div><div>    AuthByPolicy ContinueUntilReject</div><div>    <AuthBy RADMIN></div><div>        NoDefault</div><div>        AcceptIfMissing</div><div>        NoCheckPassword</div><div>        NoEAP</div><div>        [..]</div><div>    </AuthBy></div><div></AuthBy></div><div><br></div><div># 4. Catch previous IGNORES (failed LDAP and SQL backends)</div><div><AuthBy INTERNAL><br></div><div>      Identifier ACCEPT</div><div>      AuthResult ACCEPT</div><div></AuthBy></div><div><br></div><div><Handler Request-Type=Access-Request,[..]><br></div><div>    RewriteUsername [..]</div><div>    AuthBy EAP</div><div>    AuthBy LDAP</div><div>    AuthBy SQL</div><div>    AuthBy ACCEPT</div><div></Handler></div></div><div><br></div>-- <br><div dir="ltr" class="m_-774533598444178781m_3521325901836559428gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr">Christian</div></div></div></div></div></div></div></div>