<div dir="ltr"><div>PS - the EAPRadius configuration seems to use Xauth as the primary means to lookup users.  In my case I have a user identifier in the client certifcate common name.  Could I have the Radius plugin lookup the group based on that as the username?  Or otherwise, is there another means to lookup groups than via xauth?</div>
<div><br></div><div>I'd be happy to write a plugin to do my custom behavior if someone could give me a pointer in the right direction.  Is the eap_radius plugin a good place to start?  Or is there a simpler plugin I could look at to start with?  Do any other plugins deal with mapping incoming users to groups?  </div>
<div><br></div><div>My primitive idea of what I would like to accomplish is: a plugin which extracts the username from the common-name of the client cert, look it up in a hash table (or file) and return a group name which can be used to match on in traffic selectors.</div>
<div><br></div><div>Or to come at it from another direction - would an updown script be a good place to assign a group?  e.g. at the "up" stage the script goes off and does some atrbitrary checks and sets a $GROUP variable which can be matched on in traffic selectors?  Or is it already too late to match traffic selectors by the time it hits those scripts?</div>
<div><br></div><div>I'd appreciate any pointers/feedback.</div><div><br></div><div>Thanks.</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Nov 7, 2013 at 12:31 AM, Raoul Duke <span dir="ltr"><<a href="mailto:rduke496@gmail.com" target="_blank">rduke496@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi,<div><br></div><div>I have dozens (potentially hundreds) of user groupings.   I would like to assign each group an IP block/range so I can identify the groups in upstream proxy logs etc.</div>
<div><br></div>
<div>I'm aware that the recommended solution for identifying users by group is:</div><div><br></div><div><a href="http://wiki.strongswan.org/projects/strongswan/wiki/EAPRAdius" target="_blank">http://wiki.strongswan.org/projects/strongswan/wiki/EAPRAdius</a><br>

</div><div><br></div><div>My questions are:</div><div>1] is the EAP Radius setup compatible with IOS clients (ikev1).  I have read that EAP is a ikev1 concept so my assumption was that it may not work.  Can you please clarify?</div>

<div><br></div><div><br></div><div>2] in the above Wiki the traffic selectors for each group are in the config file. Can the group to traffic selector mappings be configured more dynamically somehow/? (e.g. <a href="http://wiki.strongswan.org/projects/strongswan/wiki/SQL" target="_blank">http://wiki.strongswan.org/projects/strongswan/wiki/SQL</a> -  if so is this a stable plugin?)</div>

<div><br></div><div><br></div><div><br></div><div><br></div></div>
</blockquote></div><br></div>