This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

User Portal - AD Login

HI!

we have a Sophos 120 with UTM 9.002-12.

I want too use SSL-VPN, but problem starts at the user portal login.

Definitions & Users > Authentication Servers > Servers
I created a AD connection with a AD-USer who is in the Builtin Group "Account Operator"
When I test the connection -> OK
Authenticate example user:

  • >User authentication:
  • Authentication test passed.
  • >User is a member of the following groups:
  • VPN_SSL_AD
  • User_Portal_AD
  • Active Directory Users

-> OK

Automatic user creation and Prefetch is of

Definitions & Users > Users & Groups > Groups
I have added Group

  • "User_Portal_AD"
  • Backend
  • Active Driectory
  • Limit to backend
  • selected my user group from AD (with the sophos built in tool)
  • CN=User_Portal,OU=...,DC=subdomain,DC=domain,DC=local


Management > User Portal

  • Allowed Net: Any
  • Allowed Users: User_Portal_AD


Network settings:

  • Hostname: some name (has this FQDN to be really reachable?)
  • Listen: Any
  • Port: 443


Now I try to access the User portal. enter username (userPrincipalName) tried CN to.
but allways get the message: Invalid username/password, or access denied by policy.

in AUA log it says:
aua[308]: sys="System" sub="auth" name="Trying x.x.x.xDC-LAN-IP (adirectory)" 
aua[308]: sys="System" sub="auth" name="Authentication failed" srcip="x.x.x.x" user="testuser" caller="portal" reason="DENIED" 


since I tried LDAP (I think) I get the message 
aua[3236]: Use of uninitialized value $ref in pattern match (m//) at aua.pl line 752,  line 466.
 sometimes too.

Is there any failure in my config? any hints?
do I have to add some firewall rules?

hope this is the right subforum.

br Bernhard


This thread was automatically locked due to age.
  • I never tested with AD but you are creating the user_portalAD in your ASG if I'm not wrong. that group must be created in AD and have users inside.
    Or in user portal just allow  Domain Users the UTM will query who is in Domain Users group in AD
  • Thank you for your reply.

    I have a AD group too - CN=User_Portal
    if I remove the User_Portal_AD group on the UTM, the Authenticate example user-Test doesn't show it anymore.
    if I recreate the group and remove the User from the AD group - same.

    so I think at least the UTMAD connection and group authentication works.

    I don't want to allow all Domain Users to access the Userportal/VPN.
  • groups of the AD will be created automatically in UTM 
    Try the single singlesign-on there you can see the groups of the AD
  • groups of the AD will be created automatically in UTM

    I don't understand this.

    I thought an AD Backend group on the UTM ist some sort of "mirrored" AD group.
    so if the UTM looks if the user is in the AD_backend_group_on_UTM it queries the deposited Usergroup_in_AD - am I here wrong?
  • UTM will query always the AD group
    eaxample if you will have new user tomorrow, you just add it in AD under user-portal group
  • okay I have the solution - was my fault RTFM
    Automatic user creation  MUST be enabled for User Portal...

    Manual says: 
    Create Users Automatically[...]
    Those user objects are also needed to grant access to the User Portal of Sophos UTM.
    [...]Authentication (i.e., the action of determining who a user is) and authorization
    (i.e., the action of determining what a user is allowed to do) for a user whose user
    object was created automatically are always done on the remote backend server/directory service.

    Definitions & Users > Authentication Servers > Automatic user creation for facilities
    at least select End-User Portal