Thanks. I will look into it and get back with more info. <br><br><div class="gmail_quote">On Wed, Oct 5, 2011 at 9:44 AM, Dmitri Pal <span dir="ltr"><<a href="mailto:dpal@redhat.com">dpal@redhat.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><div class="im">On 10/04/2011 11:14 AM, John Dennis wrote:<br>
> On 10/04/2011 10:50 AM, Jimmy wrote:<br>
>> I've been searching and see a few references to freeRADIUS used with<br>
>> FreeIPA, but I don't see any substantial information on the subject. Is<br>
>> there a procedure to use FreeIPA with freeRADIUS? I have a standalone<br>
>> openldap/freeradius server that I would like to eliminate if possible.<br>
><br>
> Integrating FreeRADIUS with IPA is on the long term roadmap. It's not<br>
> as easy as one might imagine. The fundamental problem is that many of<br>
> the RADIUS authentication methods require access to the user's<br>
> cleartext password or hashes we feel are insecure. This presents a<br>
> design issue for us to resolve, as such it has been pushed out.<br>
><br>
> Refer to this chart for more information:<br>
><br>
> <a href="http://deployingradius.com/documents/protocols/compatibility.html" target="_blank">http://deployingradius.com/documents/protocols/compatibility.html</a><br>
><br>
><br>
</div>OK. This could have created a wrong impression the freeRADIUS can't be<br>
used now with IPA. This is wrong. There is no tight integration but IPA<br>
for sure can act as an "authentication oracle" for freeRADIUS.<br>
<a href="http://deployingradius.com/documents/protocols/oracles.html" target="_blank">http://deployingradius.com/documents/protocols/oracles.html</a><br>
<br>
You have to use: EAP-TTLS as an outer tunnel, PAP as an inner tunnel and<br>
configure freeRADIUS to do bind operation against IPA as if it is an<br>
LDAP server (or you can use pam for that if you want, with SSSD you<br>
might get offline caching if you connection between RADIUS host and IPA<br>
might be disrupted, but if they are on the same box or connection is<br>
reliable it might make sense to use direct ldap bind rather than use the<br>
PAM stack) .<br>
How to do all this can be found in the RADIUS manual. If you find some<br>
interesting gotchas related to IPA or SSSD in this setup please share<br>
with us. Also if you find this information not sufficient let us know<br>
and we will try to help you find the right documentation.<br>
<br>
--<br>
Thank you,<br>
Dmitri Pal<br>
<br>
Sr. Engineering Manager IPA project,<br>
Red Hat Inc.<br>
<br>
<br>
-------------------------------<br>
<div class="im">Looking to carve out IT costs?<br>
<a href="http://www.redhat.com/carveoutcosts/" target="_blank">www.redhat.com/carveoutcosts/</a><br>
<br>
<br>
<br>
</div>_______________________________________________<br>
Freeipa-users mailing list<br>
<a href="mailto:Freeipa-users@redhat.com">Freeipa-users@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
</blockquote></div><br>