<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8">
  </head>
  <body text="#000000" bgcolor="#FFFFFF">
    <div class="moz-cite-prefix">On 5/16/18 7:12 AM, Phil Frost wrote:<br>
    </div>
    <blockquote type="cite"
cite="mid:CAC6ry0Jn7MPh25KAAv+BoBF2PX80Gs3HhvXiCXw0JivKFMS8og@mail.gmail.com">
      <div dir="ltr">
        <div class="gmail_quote">
          <div dir="ltr">On Tue, May 15, 2018 at 10:00 PM Pete Ashdown
            <<a href="mailto:pashdown@xmission.com"
              moz-do-not-send="true">pashdown@xmission.com</a>>
            wrote:</div>
          <blockquote class="gmail_quote" style="margin:0 0 0
            .8ex;border-left:1px #ccc solid;padding-left:1ex">
            I am trying to get NTLM hashes stored in LDAP to be
            authenticated via eap-radius.  However, when I connect a
            Windows client (7 or 10), I see this type of failure in the
            freeradius logs:<br>
            <br>
                 radius3 freeradius[23803]: Login Incorrect:
            [\\300\\250z+/] from client vpn01 (mac=, cli=[IP
            deleted][4500], port=ikev2-mschapv2)<br>
            <br>
            An incorrect login would normally have the form of:<br>
            <br>
                 Login Incorrect: [username/badpassword]<br>
            <br>
            Any idea why Windows (or Strongswan) is sending garbage for
            the username/password?<br>
          </blockquote>
          <div><br>
          </div>
          <div>I have seen this, and I'm having a vague recollection!
            It's not entirely garbage, it's the client IP in binary,
            interpreted as a string.</div>
          <div><br>
          </div>
          <div>ord("\300") -> 192</div>
          <div>ord("\250") -> 168</div>
          <div>ord("z") -> 122</div>
          <div>ord("+") -> 43</div>
          <div><br>
          </div>
          <div>It's been a while, but I'm 65% sure this "garbage
            username" symptom is what you'll see if the EAP exchange
            between Strongswan and FreeRADIUS isn't working, and the
            garbage username is a red herring. I'd guess without a
            functional EAP exchange the real username is never
            exchanged, and so what you're seeing is some fallback.</div>
          <div><br>
          </div>
          <div><a
href="http://lists.freeradius.org/pipermail/freeradius-users/2018-March/090898.html"
              moz-do-not-send="true">http://lists.freeradius.org/pipermail/freeradius-users/2018-March/090898.html</a></div>
        </div>
      </div>
    </blockquote>
    <br>
    Thank you Phil.  The odd thing here is that the proper
    username/password is exchanged with MacOS clients.  I'm at a loss as
    to why the EAP exchange works for MacOS, but not Windows.  So it
    isn't "never exchanged".  I'll keep working on it.  Is anyone else
    using StrongSwan eap-radius -> freeradius -> ldap and has a
    working setup?<br>
    <br>
  </body>
</html>