Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

End User Portal: Authentifizierung per Active Directory nicht möglich

Hallo Forumsgemeinde,

ich will unseren Außendienstlern ermöglich sich per SSL-VPN ins Firmen-LAN einzuwählen - die Authentifizierungsinformationen sollen allerdings direkt aus unserem ActiveDirectory (Server 2003) geholt werden. Sollte doch funktionieren oder?

Allerdings scheitert's bei mir schon beim einfachen einloggen in das End-User-Portal mit einem AD-user.
Ich hatte eigentlich vor, dass es im ActiveDirectory eine Gruppe gibt, welche sich
a) im End-User-Portal einloggen kann um den SSL-VPN-Client runterladen zu können
und b) sich per SSL-VPN einwählen darf

Ich bin wie folgt vorgegangen:

Domain Authentifizierung:
Das ASG ist in die Windows-Domäne angebunden (Users > Authentication > Active Directory), unter "Test Settings" ist ein Anmelde-Test auch erfolgreich.

Dann habe ich eine neue Gruppe angelegt (Typ: Backend Membership, Backend: AD) und eine bestimmte CN im ADs ausgewählt.

Letzter Schritt: 
Unter "Management > User Portal" ist die o.g. Gruppe bei "Allowed User" eingetragen. Das Firmen-LAN ist als allowed network eingetragen.

Das Problem:
Logged sich ein User ins End-User-Portal ein, welcher im ActiveDirectory Mitglied ist, bekommt er die Meldung 
"Ungültiger Benutzername/Passwort oder Zugang verweigert aufgrund einer internen Vorgabe".
Ob das SSL-VPN klappt habe ich noch gar nicht getestet...

Habe ich irgendwo einen schwerwiegenden Denkfehler drin?
Ich hoffe ich konnte das Problem einigermaßen rüberbringen - vielleicht stand der ein oder andere auch schon mal vor diesem Problem

Gruß
Philipp


This thread was automatically locked due to age.
Parents
  • http://www.astaro.com/lists/Known_Issues-ASG-V7.txt

    ID08875 7.300 Active Directory Browser makes no sense when groups should be used in HTTP-Proxy
    -----------------------------------------------------------------------------------------------
    Description:  When creating a new AD backend group in Users->Groups with
                  the help of the AD browser, the group will be taken with the
                  complete CN-notation instead of just the first attribute of the DN.
    Workaround:   Either you enter the group name by yourself or you drag it
                  into the groups field via AD browser and delete all but the
                  group name. For example,
                  CN=http_allow_all,OU=internetusers,OU=DE,DC=intranet,DC=local
                  must be
                  http_allow_all. (without a trailing dot)
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Fettes Dankeschön für das schnelle Feedback.
    Habe direkt die Gruppe wie von euch beschrieben angepasst, jedoch klappt es immer noch nicht [:(]

    die Gruppe heisst jetzt statt

    CN=vpn-user,OU=gruppen,DC=meinefirma,DC=loc


    einfach nur noch

    vpn-user



    Über Test Settings (Users > Authentication > AD) bekomme ich immer noch positives Ergebnis, im End-User-Portal hingegen nach wie vor nicht.

    Im Log erscheint leider nur

    2009:02:03-16:38:35 (none) aua[26425]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="192.168.2.83" user="philipp" caller="portal" reason="DENIED"


    Was mich stutzig macht:
    Durchsucht ASG das komplette AD? Die Astaro muss doch eigentlich noch wissen dass die CN "vpn-user" in der OU "gruppen" zu finden ist oder?

    Benötige ich evtl. noch eine Angabe bei der "Base DN"(Users > Authentication > AD) ?

    Gruß
    Philipp

    @Susi: Danke auch für die restlichen Tipps zur Implementierung
Reply
  • Fettes Dankeschön für das schnelle Feedback.
    Habe direkt die Gruppe wie von euch beschrieben angepasst, jedoch klappt es immer noch nicht [:(]

    die Gruppe heisst jetzt statt

    CN=vpn-user,OU=gruppen,DC=meinefirma,DC=loc


    einfach nur noch

    vpn-user



    Über Test Settings (Users > Authentication > AD) bekomme ich immer noch positives Ergebnis, im End-User-Portal hingegen nach wie vor nicht.

    Im Log erscheint leider nur

    2009:02:03-16:38:35 (none) aua[26425]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="192.168.2.83" user="philipp" caller="portal" reason="DENIED"


    Was mich stutzig macht:
    Durchsucht ASG das komplette AD? Die Astaro muss doch eigentlich noch wissen dass die CN "vpn-user" in der OU "gruppen" zu finden ist oder?

    Benötige ich evtl. noch eine Angabe bei der "Base DN"(Users > Authentication > AD) ?

    Gruß
    Philipp

    @Susi: Danke auch für die restlichen Tipps zur Implementierung
Children
  • Jo, im Base DN sollte etwas drin stehen, zumindest tuts das bei uns. Bei euch sollte das dann: DC=meinefirma,DC=local(?) sein.
  • Vielleicht: OU=gruppen,DC=meinefirma,DC=loc

    Gruß - Bob
    PS Ich habe es gerade versucht und das klappt in jeden Fall.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Ich glaube ohne die OU, sonst findet er glaube die Sachen nicht, die außerhalb dieser gruppen OU sind.
  • Hi,

    danke nochmal für die Hilfe. Leider klappt keines der Vorschläge

    @Susi: DC=loc ist richtig (leider), bei uns heisst die domäne meinefirma.loc

    a) Base DN: 
    AD-Test (Users > Authentication > AD) = ok
    End-User-Portal = kein Login möglich

    b) Base DN: DC=meinefirma,DC=loc
    AD-Test (Users > Authentication > AD) = ok
    End-User-Portal = kein Login möglich

    c) Base DN: OU=gruppen,DC=meinefirma,DC=loc
    AD-Test (Users > Authentication > AD) = Test negativ
    End-User-Portal = kein Login möglich

    Den AD-Test führe ich immer mit einem User durch, welcher in der OU "user" statt "gruppen" liegt (falls diese Info wichtig ist)...

    Wir haben einige Systeme schon per LDAP angebunden (Kerio Mailserver, Wordpress, STARFACE) - alles ohne Probleme...


    Habt ihr noch eine Idee? Fehlt evtl. noch eine grundlegende Einstellung?

    NACHTRAG:
    Folgendes habe ich noch ausprobiert - leider alles ohne erfolg:
    - Im Feld "Bin User DN" habe ich unseren allgemeinen domainauth-user durch den domänen-admin ersetzt
    - Gruppe "vpn-user" in "vpnuser" umbenannt


    Danke nochmals
    Philipp
  • Phillip, I have a "cheat sheet" in English that I can email to you.  Click on my name and send me your email address if you would like to have it.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hallo nochmal,

    gute Nachricht: Es funktioniert jetzt !!!

    Was habe ich gemacht: Update von 7.305 auf 7.306 und anschliessen ein Reboot des Servers.
    Leider kann ich jetzt nicht sagen was genau Besserung gebracht hat. Da im Changelog der 7.306 nicht wirklich viel drin stand gehe ich mal davon aus dass der Reboot "schuld ist".

    Danke nochmal für die tolle Unterstützung und die vielen Tipps !

    Gruß
    Philipp
  • Gestern Abend habe ich bei einem Kunden AD und User Portal aufgerichtet, und hatte das gleiche Problem: "Invalid Username/Password ...".  Vor einigen Minuten hat ein Reboot mein Problem auch gelöst.

    Danke, Phillip!

    Gruß - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hallo Leute,

    wenn es ganz dumm gelaufen ist, ist das Benutzerkonto im Active Directory einfach nur mit einem "Ablaufdatum" versehen worden. 
    Kontosperrung sieht sich ja jeder an, aber das sich aufdrängende  Ablaufdatum übersieht man so gerne...