<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;
        mso-fareast-language:EN-US;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri",sans-serif;
        mso-fareast-language:EN-US;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="PT" link="#0563C1" vlink="#954F72">
<div class="WordSection1">
<p class="MsoNormal"><span lang="EN-US">Hi<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">I am setting up a new radiator service for Eduroam. It is between a Cisco wireless controller and an Active Directory.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">When testing with various internal smartphones, everything seems to work well (I just feel that there are many too many messages, but I don’t understand the protocol, might be normal).<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">The problem I get, is when I put the radiator in production, I do get a lot of errors between some successes. From devices that I have no access (eduroam).<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">Googling around unfortunately gave no answers for this problem.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">Below is one example of an error:<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">“f98f5e50 Thu Feb  7 18:30:40 2019: DEBUG: Packet dump:<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 *** Received from x.x.x.x port x ....<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 Code:       Access-Request<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 Identifier: 146<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 Authentic:  <12><31><127><145>56<17><220><135><141><137><30><188>;<212><255><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 Attributes:<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50              User-Name = "aaa@xxx.xx"<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50              Chargeable-User-Identity = <0><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50              Location-Capable = CIVIC_LOCATION<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50              Calling-Station-Id = "b0-52-16-xx-xx-xx"<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50              Called-Station-Id = "a4-6c-2a-xx-xx-xx:eduroam"<o:p></o:p></span></p>
<p class="MsoNormal">f98f5e50              NAS-Port = 13<o:p></o:p></p>
<p class="MsoNormal">f98f5e50              cisco-avpair = "audit-session-id=0a01050b00d5de9e5c5c790a"<o:p></o:p></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50              Acct-Session-Id = "5c5c790a/b0:52:16:0a:27:f7/24493431"<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50              cisco-avpair = "mDNS=true"<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50              NAS-IP-Address = 10.1.5.11<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50              NAS-Identifier = "xxx"<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50              Airespace-WLAN-Id = 1<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50              Service-Type = Framed-User<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50              Framed-MTU = 1300<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50              NAS-Port-Type = Wireless-IEEE-802-11<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50              Tunnel-Type = 0:VLAN<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50              Tunnel-Medium-Type = 0:802<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50              Tunnel-Private-Group-ID = xxx<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50              EAP-Message = <1><1><0><8><227><255><252>(aaa@xxx.xx<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50              Message-Authenticator = <236><138><252><182><210>6<181>Xv<132><227><175><133>|<18><5><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 Thu Feb  7 18:30:40 2019: DEBUG: Handling request with Handler 'Realm = "/^xxx.xx$/i"', Identifier ''<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 Thu Feb  7 18:30:40 2019: DEBUG: SessINTERNAL: Deleting session for aaa@xxx.xx, x.x.x.x, 13<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 Thu Feb  7 18:30:40 2019: DEBUG: Handling with Radius::AuthFILE: outerEAPdetunneling<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 Thu Feb  7 18:30:40 2019: INFO: Bad EAP message length 26, EAP length 8<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 Thu Feb  7 18:30:40 2019: DEBUG: EAP result: 1, Bad EAP message length 26, EAP length 8<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 Thu Feb  7 18:30:40 2019: DEBUG: AuthBy FILE result: REJECT, Bad EAP message length 26, EAP length 8<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 Thu Feb  7 18:30:40 2019: INFO: Access rejected for aaa@xxx.xx: Bad EAP message length 26, EAP length 8<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 Thu Feb  7 18:30:40 2019: DEBUG: Packet dump:<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 *** Sending to 10.1.5.11 port 32777 ....<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 Code:       Access-Reject<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 Identifier: 146<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 Authentic:  <188><20><241>$P<1>`<220><247><20><9>g<27><165><145>o<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 Attributes:<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50              EAP-Message = <4><1><0><4><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50              Message-Authenticator = l/<14>g}<136>J<149>$<197><235>#<251>%<161><142><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50              Reply-Message = "Bad EAP message length 26, EAP length 8"”<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">The sections of the configuration that seems relevant are:<br>
<br>
“<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><AuthBy LDAP2><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                Identifier ADxxxCatalog2<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                Debug 255<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                Host z.z.z.z z.z.z.z<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                FailureBackoffTime 10<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                Port 3268<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                AuthDN CN=xxx<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                AuthPassword xxx<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                HoldServerConnection<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                BaseDN xxx<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                UsernameAttr userPrincipalName<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                NoCheckPassword<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                AuthAttrDef xx,yy,request<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                NoDefault<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                AcceptIfMissing<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                Version 3<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                NoEAP<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"></AuthBy><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><AuthBy GROUP><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                Identifier ADxxxCatalog<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                AuthByPolicy ContinueWhileAccept<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                #ContinueUntilAcceptOrChallenge<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                <AuthBy NTLM><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                               UsernameFormat %U<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                               UsernameMatchesWithoutRealm<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                               Domain xxx.xx<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                               EAPType MSCHAP-V2<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                               AddToReply User-Name = %u<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                </AuthBy><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                <AuthBy GROUP><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                               AuthByPolicy ContinueWhileAccept<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                               </span>RewriteUsername s/^([^@]+)\@yyy\.yy/$1\@xxx\.xx/<o:p></o:p></p>
<p class="MsoNormal">                               <span lang="EN-US">AuthBy ADcampusCatalog2<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                </AuthBy><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"></AuthBy><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><AuthBy FILE><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                Identifier outerEAPdetunneling<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                EAPType PEAP, TTLS, FAST<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                EAPAnonymous %0<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                </span>EAPTLS_CAFile /etc/radiator/certs/xxx.ca-bundle<o:p></o:p></p>
<p class="MsoNormal">                <span lang="EN-US">EAPTLS_CertificateFile /etc/radiator/certs/xxx.crt<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                EAPTLS_CertificateType PEM<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                EAPTLS_PrivateKeyFile /etc/radiator/certs/xxx.xx.key<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                EAPTLS_PEAPVersion 0<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                EAPTTLS_NoAckRequired<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                EAPTLS_MaxFragmentSize 1000<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                AutoMPPEKeys<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"></AuthBy><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><Handler TunnelledByPEAP=1, Realm = "/^xxx.xx$/i"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                StripFromReply Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID, Filter-Id, cisco-avpair<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                AuthBy ADcampusCatalog<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                AccountingHandled<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                RejectHasReason<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                AuthLog Statistics<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                AddToReply Tunnel-Type=VLAN, Tunnel-Medium-Type=802<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                PostProcessingHook file:"/etc/radiator/conf.d/vlanscript.pl"<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"></Handler><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><Handler TunnelledByTTLS=1, Realm = "/^xxx.xx$/i"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                StripFromReply Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID, Filter-Id, cisco-avpair<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                AuthBy ADcampusCatalog<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                AccountingHandled<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                RejectHasReason<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                AuthLog Statistics<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                AddToReply Tunnel-Type=VLAN, Tunnel-Medium-Type=802<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                PostProcessingHook file:"/etc/radiator/conf.d/vlanscript.pl"<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"></Handler><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><Handler Realm = "/^xxx.xx$/i"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                AuthBy outerEAPdetunneling<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                AccountingHandled<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                RejectHasReason<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                AuthLog Statistics<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"></Handler>”<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">Best regards<o:p></o:p></span></p>
</div>
</body>
</html>