<div dir="ltr">Thanks for your message. This seems like an upstream issue, not like an issue with the Debian packaging.<div><br></div><div>Hence, could you please redirect your question to the FreeRADIUS mailing list? See <a href="https://freeradius.org/support/">https://freeradius.org/support/</a></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Apr 26, 2018 at 11:46 AM, Marek Lukács <span dir="ltr"><<a href="mailto:marek.lukacs@gmail.com" target="_blank">marek.lukacs@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Package: freeradius<br>
Version: 3.0.12+dfsg-5+deb<br>
Architecture: amd64<br>
<br>
I want to have per user MAC address checking and per user VLAN<br>
assignment. It is possible if:<br>
<br>
<br>
<br>
1/ Requests attributes are copied into inner tunnel by adding<br>
<br>
copy_request_to_tunnel = yes<br>
<br>
into<br>
<br>
eap { peap { } }<br>
<br>
in file /etc/freeradius/3.0/mods-<wbr>enabled/eap<br>
<br>
<br>
<br>
2/ Send inner tunnel attributes to outside by adding<br>
<br>
use_tunneled_reply = yes<br>
<br>
into<br>
<br>
eap { peap { } }<br>
<br>
in file /etc/freeradius/3.0/mods-<wbr>enabled/eap<br>
<br>
<br>
<br>
3/ users are defined like:<br>
<br>
username Cleartext-Password := "password" , Calling-Station-ID ==<br>
"00-DE-AD-BE-EF-00"<br>
        Tunnel-Type = VLAN,<br>
        Tunnel-Medium-Type = IEEE-802,<br>
        Tunnel-Private-Group-ID = 100,<br>
        Fall-Through = Yes<br>
<br>
in file /etc/freeradius/3.0/users<br>
<br>
<br>
<br>
This works fine and MAC address is checked for Android devices. But if<br>
using Windows 10 device, authentication fails with:<br>
<br>
(7) eap_mschapv2: # Executing group from file<br>
/etc/freeradius/3.0/sites-<wbr>enabled/inner-tunnel<br>
(7) eap_mschapv2:   authenticate {<br>
(7) mschap: WARNING: No Cleartext-Password configured.  Cannot create<br>
NT-Password<br>
(7) mschap: WARNING: No Cleartext-Password configured.  Cannot create<br>
LM-Password<br>
(7) mschap: Creating challenge hash with username: czpzlpwd0006<br>
(7) mschap: Client is using MS-CHAPv2<br>
(7) mschap: ERROR: FAILED: No NT/LM-Password.  Cannot perform authentication<br>
(7) mschap: ERROR: MS-CHAP2-Response is incorrect<br>
(7)     [mschap] = reject<br>
(7)   } # authenticate = reject<br>
<br>
<br>
<br>
<br>
But it happens only if Calling-Station-ID is next to<br>
Cleartext-Password in users file. If that line does not have<br>
Calling-Station-ID and user is defined like:<br>
<br>
username Cleartext-Password := "password"<br>
        Tunnel-Type = VLAN,<br>
        Tunnel-Medium-Type = IEEE-802,<br>
        Tunnel-Private-Group-ID = 100,<br>
        Fall-Through = Yes<br>
<br>
Authentication works and Windows 10 device is authenticated, but no<br>
MAC address is checked.<br>
<br>
<br>
<br>
My other modifications to my configurations:<br>
<br>
1/ enabled ntdomain realms in<br>
/etc/freeradius/3.0/sites-<wbr>enabled/default and<br>
/etc/freeradius/3.0/sites-<wbr>enabled/inner-tunnel<br>
<br>
2/ configured local DOMAIN in /etc/freeradius/3.0/proxy.conf<br>
<br>
realm DOMAIN {<br>
}<br>
<br>
<br>
<br>
It looks, like mschap is using NTLM password checking if MS Windows<br>
device is authenticating, but another method (MD5?) if it is Android<br>
device.<br>
<br>
It results that users with Android device can be configured including<br>
Calling-Station-ID, but Windows devices must be configured without<br>
Calling-Station-ID, so no MAC address checking for Windows devices.<br>
For me it looks, like mschap NT/LM auth is not parsing correctly the<br>
line, if there is Calling-Station-ID.<br>
<br>
I expect, that I can use per user MAC address checking independently<br>
on used end device, so Android and Windows users can be configured<br>
with Calling-Station-ID.<br>
<br>
<br>
<br>
I am using Debian GNU/Linux 9.4, kernel 4.9.0-6-amd64 #1 SMP Debian<br>
4.9.82-1+deb9u3 (2018-03-02) x86_64 GNU/Linux and libc6<br>
2.24-11+deb9u3.<br>
<br>
______________________________<wbr>_________________<br>
Pkg-freeradius-maintainers mailing list<br>
<a href="mailto:Pkg-freeradius-maintainers@alioth-lists.debian.net">Pkg-freeradius-maintainers@<wbr>alioth-lists.debian.net</a><br>
<a href="https://alioth-lists.debian.net/cgi-bin/mailman/listinfo/pkg-freeradius-maintainers" rel="noreferrer" target="_blank">https://alioth-lists.debian.<wbr>net/cgi-bin/mailman/listinfo/<wbr>pkg-freeradius-maintainers</a><br>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature">Best regards,<br>Michael</div>
</div>