<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
{font-family:"Cambria Math";
panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0cm;
margin-bottom:.0001pt;
font-size:11.0pt;
font-family:"Calibri",sans-serif;
mso-fareast-language:EN-US;}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:#0563C1;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:#954F72;
text-decoration:underline;}
span.EmailStyle17
{mso-style-type:personal-compose;
font-family:"Calibri",sans-serif;
color:windowtext;}
.MsoChpDefault
{mso-style-type:export-only;
font-family:"Calibri",sans-serif;
mso-fareast-language:EN-US;}
@page WordSection1
{size:612.0pt 792.0pt;
margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.WordSection1
{page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="PT" link="#0563C1" vlink="#954F72">
<div class="WordSection1">
<p class="MsoNormal"><span lang="EN-US">Hi<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">I am setting up a new radiator service for Eduroam. It is between a Cisco wireless controller and an Active Directory.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">When testing with various internal smartphones, everything seems to work well (I just feel that there are many too many messages, but I don’t understand the protocol, might be normal).<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">The problem I get, is when I put the radiator in production, I do get a lot of errors between some successes. From devices that I have no access (eduroam).<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">Googling around unfortunately gave no answers for this problem.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">Below is one example of an error:<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">“f98f5e50 Thu Feb 7 18:30:40 2019: DEBUG: Packet dump:<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 *** Received from x.x.x.x port x ....<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 Code: Access-Request<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 Identifier: 146<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 Authentic: <12><31><127><145>56<17><220><135><141><137><30><188>;<212><255><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 Attributes:<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 User-Name = "aaa@xxx.xx"<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 Chargeable-User-Identity = <0><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 Location-Capable = CIVIC_LOCATION<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 Calling-Station-Id = "b0-52-16-xx-xx-xx"<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 Called-Station-Id = "a4-6c-2a-xx-xx-xx:eduroam"<o:p></o:p></span></p>
<p class="MsoNormal">f98f5e50 NAS-Port = 13<o:p></o:p></p>
<p class="MsoNormal">f98f5e50 cisco-avpair = "audit-session-id=0a01050b00d5de9e5c5c790a"<o:p></o:p></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 Acct-Session-Id = "5c5c790a/b0:52:16:0a:27:f7/24493431"<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 cisco-avpair = "mDNS=true"<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 NAS-IP-Address = 10.1.5.11<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 NAS-Identifier = "xxx"<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 Airespace-WLAN-Id = 1<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 Service-Type = Framed-User<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 Framed-MTU = 1300<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 NAS-Port-Type = Wireless-IEEE-802-11<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 Tunnel-Type = 0:VLAN<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 Tunnel-Medium-Type = 0:802<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 Tunnel-Private-Group-ID = xxx<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 EAP-Message = <1><1><0><8><227><255><252>(aaa@xxx.xx<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 Message-Authenticator = <236><138><252><182><210>6<181>Xv<132><227><175><133>|<18><5><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 Thu Feb 7 18:30:40 2019: DEBUG: Handling request with Handler 'Realm = "/^xxx.xx$/i"', Identifier ''<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 Thu Feb 7 18:30:40 2019: DEBUG: SessINTERNAL: Deleting session for aaa@xxx.xx, x.x.x.x, 13<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 Thu Feb 7 18:30:40 2019: DEBUG: Handling with Radius::AuthFILE: outerEAPdetunneling<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 Thu Feb 7 18:30:40 2019: INFO: Bad EAP message length 26, EAP length 8<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 Thu Feb 7 18:30:40 2019: DEBUG: EAP result: 1, Bad EAP message length 26, EAP length 8<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 Thu Feb 7 18:30:40 2019: DEBUG: AuthBy FILE result: REJECT, Bad EAP message length 26, EAP length 8<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 Thu Feb 7 18:30:40 2019: INFO: Access rejected for aaa@xxx.xx: Bad EAP message length 26, EAP length 8<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 Thu Feb 7 18:30:40 2019: DEBUG: Packet dump:<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 *** Sending to 10.1.5.11 port 32777 ....<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 Code: Access-Reject<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 Identifier: 146<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 Authentic: <188><20><241>$P<1>`<220><247><20><9>g<27><165><145>o<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 Attributes:<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 EAP-Message = <4><1><0><4><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 Message-Authenticator = l/<14>g}<136>J<149>$<197><235>#<251>%<161><142><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">f98f5e50 Reply-Message = "Bad EAP message length 26, EAP length 8"”<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">The sections of the configuration that seems relevant are:<br>
<br>
“<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><AuthBy LDAP2><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> Identifier ADxxxCatalog2<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> Debug 255<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> Host z.z.z.z z.z.z.z<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> FailureBackoffTime 10<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> Port 3268<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> AuthDN CN=xxx<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> AuthPassword xxx<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> HoldServerConnection<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> BaseDN xxx<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> UsernameAttr userPrincipalName<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> NoCheckPassword<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> AuthAttrDef xx,yy,request<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> NoDefault<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> AcceptIfMissing<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> Version 3<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> NoEAP<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"></AuthBy><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><AuthBy GROUP><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> Identifier ADxxxCatalog<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> AuthByPolicy ContinueWhileAccept<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> #ContinueUntilAcceptOrChallenge<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> <AuthBy NTLM><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> UsernameFormat %U<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> UsernameMatchesWithoutRealm<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> Domain xxx.xx<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> EAPType MSCHAP-V2<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> AddToReply User-Name = %u<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> </AuthBy><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> <AuthBy GROUP><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> AuthByPolicy ContinueWhileAccept<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> </span>RewriteUsername s/^([^@]+)\@yyy\.yy/$1\@xxx\.xx/<o:p></o:p></p>
<p class="MsoNormal"> <span lang="EN-US">AuthBy ADcampusCatalog2<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> </AuthBy><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"></AuthBy><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><AuthBy FILE><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> Identifier outerEAPdetunneling<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> EAPType PEAP, TTLS, FAST<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> EAPAnonymous %0<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> </span>EAPTLS_CAFile /etc/radiator/certs/xxx.ca-bundle<o:p></o:p></p>
<p class="MsoNormal"> <span lang="EN-US">EAPTLS_CertificateFile /etc/radiator/certs/xxx.crt<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> EAPTLS_CertificateType PEM<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> EAPTLS_PrivateKeyFile /etc/radiator/certs/xxx.xx.key<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> EAPTLS_PEAPVersion 0<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> EAPTTLS_NoAckRequired<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> EAPTLS_MaxFragmentSize 1000<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> AutoMPPEKeys<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"></AuthBy><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><Handler TunnelledByPEAP=1, Realm = "/^xxx.xx$/i"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> StripFromReply Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID, Filter-Id, cisco-avpair<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> AuthBy ADcampusCatalog<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> AccountingHandled<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> RejectHasReason<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> AuthLog Statistics<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> AddToReply Tunnel-Type=VLAN, Tunnel-Medium-Type=802<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> PostProcessingHook file:"/etc/radiator/conf.d/vlanscript.pl"<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"></Handler><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><Handler TunnelledByTTLS=1, Realm = "/^xxx.xx$/i"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> StripFromReply Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID, Filter-Id, cisco-avpair<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> AuthBy ADcampusCatalog<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> AccountingHandled<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> RejectHasReason<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> AuthLog Statistics<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> AddToReply Tunnel-Type=VLAN, Tunnel-Medium-Type=802<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> PostProcessingHook file:"/etc/radiator/conf.d/vlanscript.pl"<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"></Handler><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><Handler Realm = "/^xxx.xx$/i"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> AuthBy outerEAPdetunneling<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> AccountingHandled<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> RejectHasReason<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> AuthLog Statistics<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"></Handler>”<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">Best regards<o:p></o:p></span></p>
</div>
</body>
</html>