<div dir="ltr"><div>Hi,</div><div><br></div><div>I'm trying to configure EAP RADIUS to give out different IP ranges for different user groups.  I am using IOS (ikev1) clients.<br></div><div><br></div><div>My eap-radius config (in strongswan.conf) is verbatim:</div>
<div>  <a href="http://wiki.strongswan.org/projects/strongswan/wiki/EAPRAdius">http://wiki.strongswan.org/projects/strongswan/wiki/EAPRAdius</a></div><div><br></div><div>This is my ipsec.conf </div><div><br></div><div>conn ios</div>
<div>        keyexchange=ikev1</div><div>        authby=xauthrsasig</div><div>        xauth=server</div><div> ....</div><div>        rightauth=pubkey</div><div>        rightauth2=xauth-radius</div><div>        rightgroups="<a href="mailto:sales@strongswan.org">sales@strongswan.org</a>, <a href="mailto:finance@strongswan.org">finance@strongswan.org</a>"</div>
<div><br></div><div>When I comment out the "rightgroups" it correctly authenticates the xauth username against RADIUS.  Great.</div><div><br></div><div>When I add the rightgroups I see this in the log:</div><div>
<br></div><div>constraint check failed: group membership to 'O=strongswan, OU=research' required<br></div><div><br></div><div>That seems reasonable but.</div><div><br></div><div>I have 2 questions:</div><div><br></div>
<div>1] I don't see a failed auth in the RADIUS logs in the latter case. But I do (say) when I provide an incorrect xauth password.  THis suggests to me that it isn't even going to RADIUS when I added the "rightgroups"constraint.  Is there anything wrong with my config?</div>
<div><br></div><div>2] looking at the source code of the eap_radius plugin I can see it gets the group from the class attribute in the RADIUS reply.  I know this isn't a FreeRADIUS forum but does anyone know a simple way for me to configure a (non SQL / LDAP) freeradius user which returns a "Class" in the reply.</div>
<div><br></div><div>Thanks.</div></div>