<div dir="ltr"><div class="gmail_quote"><div dir="ltr">On Tue, May 15, 2018 at 10:00 PM Pete Ashdown <<a href="mailto:pashdown@xmission.com">pashdown@xmission.com</a>> wrote:</div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I am trying to get NTLM hashes stored in LDAP to be authenticated via eap-radius.  However, when I connect a Windows client (7 or 10), I see this type of failure in the freeradius logs:<br>
<br>
     radius3 freeradius[23803]: Login Incorrect: [\\300\\250z+/] from client vpn01 (mac=, cli=[IP deleted][4500], port=ikev2-mschapv2)<br>
<br>
An incorrect login would normally have the form of:<br>
<br>
     Login Incorrect: [username/badpassword]<br>
<br>
Any idea why Windows (or Strongswan) is sending garbage for the username/password?<br></blockquote><div><br></div><div>I have seen this, and I'm having a vague recollection! It's not entirely garbage, it's the client IP in binary, interpreted as a string.</div><div><br></div><div>ord("\300") -> 192</div><div>ord("\250") -> 168</div><div>ord("z") -> 122</div><div>ord("+") -> 43</div><div><br></div><div>It's been a while, but I'm 65% sure this "garbage username" symptom is what you'll see if the EAP exchange between Strongswan and FreeRADIUS isn't working, and the garbage username is a red herring. I'd guess without a functional EAP exchange the real username is never exchanged, and so what you're seeing is some fallback.</div><div><br></div><div><a href="http://lists.freeradius.org/pipermail/freeradius-users/2018-March/090898.html">http://lists.freeradius.org/pipermail/freeradius-users/2018-March/090898.html</a></div></div></div>