Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 38 subscribers
  • Views 4854 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Keine Verbindung zum End User Portal als AD-Benutzer

Cowiz
Kürzlich habe ich die ASG 7.x installiert, um diese zu testen. Leider ist es als Benutzer einer Windows AD nicht möglich, in das End User Portal einzloggen.

Systems:
ASG 7.101
Windows 2003 R2 Server

Users - Authentication - Active Directory
Active Directory configuration : Enabled
AD SSO : Enabled

Die FW und der DC sind im gleichen privaten Subnetz.

In Users - Groups wurde eine Gruppe namens "Mailtest" definiert. Dieser Gruppe wurde eine AD-Gruppe mit gleichem Namen zugewiesen. Im AD wurden dieser Gruppe zwei Benutzer zugeordnet.

Group Type : Backend Membership
Backend : Active Directory
Limit to backend groups membership: Enabled
AD-Gruppe: Mailtest, globale Sicherheitsgruppe

Im End User Portal ist es nicht möglich, mit dem AD-Benutzer einzuloggen. Als Loginnamen habe ich die Syntax Benutzername und Benutzername@home.local ausprobiert.

Dagegen ist das Einloggen mit einem, auf der ASG, lokal definierten Benutzer problemlos möglich.

Leider finde ich keinen Hinweis auf die Schraube, die ich drehen muß.

Gruß, Alfred


This thread was automatically locked due to age.
  • 0
    Gleiches Problem hier... So ein Ärger
  • 0 in reply to ClausP
    Active Directory SSO works for HTTP Proxy only. Enduser Portal access is not supported.

    What you can do is adding the auto-created user to the allowed users in the Enduser Portal configuration.


    Wie erstelle ich den "auto-created user", bzw. wo kann dieser vom AD abgefragt werden?
  • 0 in reply to Cowiz
    Hallo,

    unter User -> Auth. -> Global Setting. Kannst du den Hacken setzen für "create user automati...." Diese musst du angehackt haben.

    Wenn du dann deine Gruppe die du erstellt hast, zu den Allowed Usern beim End User Portal hinzufügst. Kannst du dich ohne Probleme am Enduser Portal anmelden. Du musst nur den normalen Benutzernamen eingeben. Also einfach Benutzername   ohne @domain.local 


    Gruß

    Forke
  • 0 in reply to sunland_01
    Hallo Forke,

    das habe ich mir ja auch gedacht, die Gruppe ist im AD und in der ASG erstellt, leider "schleift" er den Benutzer trotzdem nicht durch, bzw. erstellt die ASG keinen entsprechenden Benutzer. 

    Mit dem Netzwerkmonitor vom Windows Server kann ich zwar den Authentifizierungsversuch verfolgen, doch die ASG meldet weiterhin, "Authentication failed"

    Gruß
    Alfred
  • 0 in reply to Cowiz
    Hallo Alfred, 

    gut zu Wissen wäre was im AUA Log steht. Man könnte den aua daemon in den debug modus schalten um dann zu schauen wo dran es liegt. 

    Wenn wir das Log hätten, könnten wir dir weiter helfen


    Gruß

    Forke


    P.S Privatemessage [;)]
  • 0 in reply to sunland_01
    Hallo Forke,

    habe jetzt nach deinen Tipps, bei Users - Authentication - AD die Verwendung von SSL deaktiviert und die ASG rejoined.

    Wenn der Benutzer direkt in der ASG mit Authentication: Remote angelegt wird, ist es nun möglich, das End User Portal zu nutzen. 

    Leider werden Benutzer in AD-Gruppen werden jedoch nicht authentifiziert, das Debuglog zeigt hier ein unverändertes Verhalten beim Versuch der Anmeldung.

    Hier sind bei der Gruppe Mailtest die Eigenschaften Group Type: Backend Membership und Backend: Active Directory festgelegt. Definierte AD-Gruppen sind Mailtest und Users.

    Unter Authentication - Global Settings wurde die Automatic User Creation aktiviert. 

    Diese Einstellungen sollte doch eine Authentifizierung über Gruppenmitgliedschaft ermöglichen, oder habe ich noch etwas übersehen?

    Danke für die Hilfe,

    Gruß
    Alfred
  • 0 in reply to Cowiz
    Hallo, 

    den User musst du nicht auf der Astaro anlegen. Da dieser beim ersten melden eigentlich automatisch angelegt werden sollte...

    Ich weiß nicht genau, wo dein Problem noch liegt. Villeicht könntest du mir dein Log noch mal Zeigen... 

    und das Fallback Messages log, von dem Tag wo du gejoined bist 

    Vielleicht kann man da was sehen, sonst mal schauen was einem noch einfällt. Das A und O bei der neuen Version ist ein funktionierender DNS Server [;)]
    Wenn er den Domain Namen nicht richtig auflöst gibt es nur Probleme
  • 0 in reply to sunland_01
    Hallo,

    wie schon gesagt, nachdem der AD-Benutzer per Hand angelegt wurde, funktioniert es, mit einer Einschränkung: der Benutzername muß Case sensitiv geschrieben werden, d.h. wie dieser in der Userverwaltung der ASG angelegt wurde. 

    Ich habe einen Thread gefunden, der möglichweise auf die Problematik passen könnte:
    http://www.astaro.org/showthread.php?t=20418

    Backend User Groups are currently not supported in that context.
    The good news: This will change in one of the next up2dates (maybe in 7.102).

    Sorry.

    Kind Regards,
    Daniel


    Gruß,
Unfiltered HTML