
<div dir="ltr">Thanks for your message. This seems like an upstream issue, not like an issue with the Debian packaging.<div><br></div><div>Hence, could you please redirect your question to the FreeRADIUS mailing list? See <a href="https://freeradius.org/support/">https://freeradius.org/support/</a></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Apr 26, 2018 at 11:46 AM, Marek Lukács <span dir="ltr"><<a href="mailto:marek.lukacs@gmail.com" target="_blank">marek.lukacs@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Package: freeradius<br>

Version: 3.0.12+dfsg-5+deb<br>

Architecture: amd64<br>

<br>

I want to have per user MAC address checking and per user VLAN<br>

assignment. It is possible if:<br>

<br>

<br>

<br>

1/ Requests attributes are copied into inner tunnel by adding<br>

<br>

copy_request_to_tunnel = yes<br>

<br>

into<br>

<br>

eap { peap { } }<br>

<br>

in file /etc/freeradius/3.0/mods-<wbr>enabled/eap<br>

<br>

<br>

<br>

2/ Send inner tunnel attributes to outside by adding<br>

<br>

use_tunneled_reply = yes<br>

<br>

into<br>

<br>

eap { peap { } }<br>

<br>

in file /etc/freeradius/3.0/mods-<wbr>enabled/eap<br>

<br>

<br>

<br>

3/ users are defined like:<br>

<br>

username Cleartext-Password := "password" , Calling-Station-ID ==<br>

"00-DE-AD-BE-EF-00"<br>

        Tunnel-Type = VLAN,<br>

        Tunnel-Medium-Type = IEEE-802,<br>

        Tunnel-Private-Group-ID = 100,<br>

        Fall-Through = Yes<br>

<br>

in file /etc/freeradius/3.0/users<br>

<br>

<br>

<br>

This works fine and MAC address is checked for Android devices. But if<br>

using Windows 10 device, authentication fails with:<br>

<br>

(7) eap_mschapv2: # Executing group from file<br>

/etc/freeradius/3.0/sites-<wbr>enabled/inner-tunnel<br>

(7) eap_mschapv2:   authenticate {<br>

(7) mschap: WARNING: No Cleartext-Password configured.  Cannot create<br>

NT-Password<br>

(7) mschap: WARNING: No Cleartext-Password configured.  Cannot create<br>

LM-Password<br>

(7) mschap: Creating challenge hash with username: czpzlpwd0006<br>

(7) mschap: Client is using MS-CHAPv2<br>

(7) mschap: ERROR: FAILED: No NT/LM-Password.  Cannot perform authentication<br>

(7) mschap: ERROR: MS-CHAP2-Response is incorrect<br>

(7)     [mschap] = reject<br>

(7)   } # authenticate = reject<br>

<br>

<br>

<br>

<br>

But it happens only if Calling-Station-ID is next to<br>

Cleartext-Password in users file. If that line does not have<br>

Calling-Station-ID and user is defined like:<br>

<br>

username Cleartext-Password := "password"<br>

        Tunnel-Type = VLAN,<br>

        Tunnel-Medium-Type = IEEE-802,<br>

        Tunnel-Private-Group-ID = 100,<br>

        Fall-Through = Yes<br>

<br>

Authentication works and Windows 10 device is authenticated, but no<br>

MAC address is checked.<br>

<br>

<br>

<br>

My other modifications to my configurations:<br>

<br>

1/ enabled ntdomain realms in<br>

/etc/freeradius/3.0/sites-<wbr>enabled/default and<br>

/etc/freeradius/3.0/sites-<wbr>enabled/inner-tunnel<br>

<br>

2/ configured local DOMAIN in /etc/freeradius/3.0/proxy.conf<br>

<br>

realm DOMAIN {<br>

}<br>

<br>

<br>

<br>

It looks, like mschap is using NTLM password checking if MS Windows<br>

device is authenticating, but another method (MD5?) if it is Android<br>

device.<br>

<br>

It results that users with Android device can be configured including<br>

Calling-Station-ID, but Windows devices must be configured without<br>

Calling-Station-ID, so no MAC address checking for Windows devices.<br>

For me it looks, like mschap NT/LM auth is not parsing correctly the<br>

line, if there is Calling-Station-ID.<br>

<br>

I expect, that I can use per user MAC address checking independently<br>

on used end device, so Android and Windows users can be configured<br>

with Calling-Station-ID.<br>

<br>

<br>

<br>

I am using Debian GNU/Linux 9.4, kernel 4.9.0-6-amd64 #1 SMP Debian<br>

4.9.82-1+deb9u3 (2018-03-02) x86_64 GNU/Linux and libc6<br>

2.24-11+deb9u3.<br>

<br>

______________________________<wbr>_________________<br>

Pkg-freeradius-maintainers mailing list<br>

<a href="mailto:Pkg-freeradius-maintainers@alioth-lists.debian.net">Pkg-freeradius-maintainers@<wbr>alioth-lists.debian.net</a><br>

<a href="https://alioth-lists.debian.net/cgi-bin/mailman/listinfo/pkg-freeradius-maintainers" rel="noreferrer" target="_blank">https://alioth-lists.debian.<wbr>net/cgi-bin/mailman/listinfo/<wbr>pkg-freeradius-maintainers</a><br>

</blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature">Best regards,<br>Michael</div>

</div>