I wonder what magic I am missing that this #freeradius accepts a DEFAULT user when using #sql and not textfiles.

It works fine if i have user and their password defined fully. But I need "one" fallback user to be accepted for basically any value combination in username/password that does not yet exist. Ought to be DEFAULT.

Haven't found the magic for it, and search engines hate me, it appears, they seem to know nothing about this in combination with SQL.

After some epic fight i found out how to test a #freeradius server in eap ttls pap mode using Vendor-Specific attributes for authorization.

This was all about encoding a Vendor-Specific Attribute to provide to #eapol_test -N 26:x:somethinginhex option.

All was about this somethinginhex.

Vendor attribute is encoded :

|26 (1Byte)| Length (1Byte)| Vendor Id (4 bytes Big Endian)| Vendor type/attribute (1Byte) | Vendor Length (1 Byte) = 2 + length of (Value)|Value|

if 2+length of value is not respected Vendor-Specific attribute is not detected and will remain as a Att-26 in freeradius.

Since 2 bytes |26|Length| are already handled by eapol, it reamins to correctly enter remaining thing in hex form.

This was my entry point :
https://hostap.shmoo.narkive.com/0FEiWyqK/eapol-test-send-vendor-specific-radius-attribute

Together with rfc https://www.rfc-editor.org/rfc/rfc2865 where unfortunately Vendor length was not explained.

I read freeradius code too, but it was more complex than expected, due to implementation of newer extended attributes formats.

I am amazed at how challenging it is to wrap my head around integrating Unify Dream Machine Pro, #freeRADIUS and one of the two directory systems we are using (legacy Open Directory on macOS Server and M365 Azure AD). There are so many topics related to RADIUS and authentication tech that you need to know about before you start to get a feeling for how these things work. If anybody has some insights on any of this, I’d very much appreciate them!

#freeradius depuis une heure jje cerhce pourquoi mon utilisateur est autorisé alors que j'ai supprimé le fichier user

la réponse : ce n'était pas un fichier mais un lien vers mods-config/files/authorize et c'est le fichier authorize que freeradius lit, et celui-là il était toujours là ...

i good thing never come alone, i now get a wifi WPA2 entreprise working on my rasp.

will now be ready to tweak with #freeradius then #openldap...

Schwere Geburt #FreeRadius mit #FreeIPA zu verheiraten. Aber die Logausgaben sehen jetzt gut aus. Nun geht es an die Feinheiten #AlmaLinux

<30 Minuten hört sich trivial an, ist es hier aber nicht:

Die Config ist recht komplex, mit mehreren VLANs und WLANs, #FreeRADIUS-, #OpenVPN- und #Privoxy-Komponenten.

Und mit einem USB-Stick als Root-FS, den man als Overlay 'drüber-mounten muss. Ohne Skript hat das früher Stunden gedauert.

Mal eben zwei #container mit #pihole bzw. #freeradius aufgesetzt, an eine virtuelle IP gehängt und einen #cron-Job mit #rsync zur Synchronisation der Configs mit dem Raspi erzeugt.

DNS und RADIUS funktionieren soweit (sind auch schon im #checkmk drin), aber DHCP macht noch Probleme wegen des Interface-Bindings. Host-Network und macvlan kommen als Netzwerk-Modi nicht in Frage, jedenfalls nicht im Standby.

Vermutlich brauche ich so was wie einen DHCP-Proxy...

PacketFence version 9 est disponible https://linuxfr.org/news/packetfence-version-9-est-disponible #packetfence #freeradius #sécurité #cisco #wifi #nac

[#Actu] « PacketFence version 9 est disponible » https://linuxfr.org/news/packetfence-version-9-est-disponible #packetfence #freeradius #Sécurité #sécurité #cisco #wifi #nac

#FreeRADIUS -- Issues found via fuzzing by Guido Vranken - http://bit.ly/2vJqyd9

#FreeRADIUS, the world’s most popular RADIUS Server allows #hackers to log in without credentials http://securityaffairs.co/wordpress/59553/hacking/freeradius-tls-resumption-authentication-bypass.html