Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Authentifizierung durch Aladdin Safeword + OTP Token mittels Astaro SSL VPN

Hallo Astaro Gemeinde,

die Konstellation versuche ich seit einigen Tagen zum Laufen zu bekommen, bisher aber ohne Erfolg.

Als Software soll von der Firma Aladdin das Produkt Safeword eingesetzt werden. Dazu gibt es Token mit OTP. Um die Kosten gering zu halten, wird dieses nicht über IPSec mit erfolgen, sondern über den SSL VPN Client.
Momentan scheitert es aber an der Authentifizierung. Die ASG ist korrekt im AD, restliche Voraussetzungen wie DNS, OU's etc sind soweit gegeben. Jedoch gibt es für mich ein Grundsatzproblem des Verständnisses. Safeword bietet eine Kontrolle des Zugriffes über eine Schemaerweiterung an und auch das Managen der Domänenuser per AD Snap In. Die Token habe ich zugeordnet und den Usern anhand der Seriennummer zugewiesen. Jedoch müsste ich ja eigentlich die Authentifizierung per Radius vornehmen, den Safeword optional mitbringt.

Wenn ich jedoch diesen nutzen will, muss das auch auf der Astaro hinterlegt werden für die Art der Remoteauthentifizierung. Da fangen meine Probleme an. Kann die Astaro in einer Domäne sein und gleichzeitig Anfragen per Radius problemlos bearbeiten? Wie müsste eine korrekte Installation des Radius erfolgen, um eine Abfrage am AD zu starten, ob der Nutzer sich einwählen darf oder nicht und das OTP anfordern?

Ich hab es derzeit nicht lauffähig hinbekommen. Remoteauthentifizierung am AD per SSL ist kein Problem. Bei Umstellung auf OTP mittels Radius scheitere ich kläglich.

Hat diese oder eine ähnliche Konfiguration schon jemand im Einsatz und könnte mir ggf einen kleinen Tipp geben?

Vielen Dank vorab,

Monthy


This thread was automatically locked due to age.
Parents
  • Hallo an Alle,

    werde es heute abend mit dem IAS nochmal testen. Bisher jedoch scheitert es bereits an der Abfrage von der Astaro zum Radius Server. Sehe im Log auch nicht, dass wenigstens auf Port 1812 UDP ne Anfrage bis zum Radius Server kommt. Vielleicht ist ja auch das bereits mein Problem. Ich werde testen und berichten.

    Monthy
Reply
  • Hallo an Alle,

    werde es heute abend mit dem IAS nochmal testen. Bisher jedoch scheitert es bereits an der Abfrage von der Astaro zum Radius Server. Sehe im Log auch nicht, dass wenigstens auf Port 1812 UDP ne Anfrage bis zum Radius Server kommt. Vielleicht ist ja auch das bereits mein Problem. Ich werde testen und berichten.

    Monthy
Children
  • Aber ein Ping von der ASG auf den Radius Server bekommst du schon durch, oder?
  • Hallo hallowach,

    also hier nun das ergebnis meiner Bemühungen vom gestrigen Abend.

    Wenn ich den MS eigenen IAS nehme, bekomme ich auf der Astaro beim Test der Verbindung mit passendem Secret wenigstens schonmal ein "Server passed".
    Sobald ich jedoch die Gruppenzugehörigkeit testen will, stellt er auf stur.

    Man kann also festhalten, die Verbindung vond er ASG zum IAS steht. Die Abfrage der passenden AD Gruppe scheitert.
    Daher bin ich gerade dabei, in der IAS Richtlinie zu ergründen, warum er die Anfrage nicht zulässt. Ebenfalls scheint der NAS Identifier ein Problem darzustellen.

    DNS Auflösung und Ping ist kein Problem von Seiten der Astaro.

    Monthy
  • Probier mal folgendes HowTo:
    http://portal.knowledgebase.net/display/2n/kb/article.asp?aid=225210&n=7&s=1

    Ist nicht ganz aktuell, aber sollte funktionieren!

    Gruß, Mario
  • Hallo Mario,

    Der Link scheint nicht mehr zu funktionieren. Hab es mit 2 verschiedenen Browsern getestet.

    Monthy
  • Hab's auch gerade getestet, Link funktioniert.

    Ansonsten in der Knowledgebase nach Radius suchen!
  • Hi Monthy,

    Hallo hallowach,
    Wenn ich den MS eigenen IAS nehme, bekomme ich auf der Astaro beim Test der Verbindung mit passendem Secret wenigstens schonmal ein "Server passed".
    Sobald ich jedoch die Gruppenzugehörigkeit testen will, stellt er auf stur.


    hast du das Safeword auf dem gleichen Server laufen wie den IAS? Vielleicht vertragen die sich nicht miteinander (belegen die gleichen Ports, IAS blockt alles andere, etc.)

    Gruß
    Manfred
  • Hallo und guten Morgen Manfred,

    ich habe das Safeword AD Snap in auf dem DC erstellt, weil nach Anleitung Aladding die die beste Integration bieten soll. Bei der Radius Authentifizierung hatte ich bisher entweder den IAS als einzigen Radius Server oder den mitgelieferten Safeword Radius Server installiert. Derzeit teste ich noch einmal genau nach Admin Guide von Safeword die Konfiguration von Safeword2008 + mitgeliefertem Radius auf einem jungfräulichen 2003er Server.

    Ich werde berichten, wenn ich endlich ein Erfolgserlebnis habe. 

    Danke für die bisherige Unterstützung.

    Monthy
  • Hallo an Alle,

    wollte auf diesem Wege mitteilen, dass ich es nun hinbekommen habe.

    Bei mir funktioniert es nun in folgender Konstellation:

    Installation der Safeword Software auf einem Server, der als Backup DC in der Domäne läuft (ohne AD Rolle als reiner MemberServer hab ich es nicht läuffähig bekommen, obwohl es auch gehen soll)

    Als ESP Addon Software den Safeword eigenen Radius Server mit installieren. Dieser wird standardmässig mit Port 5031 für Radius installiert. Mit diesem hab ich es nicht zur Authentifizierung geschafft. Daher umgestellt auf Standard Radius Port UDP 1812 und Dienste durchstarten. Dann das komplette logging in der Safeword Software einschalten, damit man sieht, wenn eine Anfrage reinkommt.

    Als nächstes warten, bis die AD Schemaerweiterung greift, in der Zwischenzeit die AD Nutzer einrichten, indem man die Token zuweisst etc.

    Auf der ASG dann SSL VPN soweit einrichten, dass Radius User erlaubt sind. VOrab bei Authentification den Radius Server definieren. Man kann es sich sparen, einen Auth Test mit Shared Secred oder eine Testauth für einen Example User in diesem Fenster durchzuführen. Bei mir erscheint immer eine fehlerhafte Authentifizierung. Ebenso kann die ASG keinen der User angeblich im Radius finden. Das alleine hat mich viele Haare gekostet. Trotzdem die Einstellungen speichern und im Userportal hinterlegen, dass die Radius User auch einloggen dürfen. So kann man bequem testen, ob die Authentifizierung klappt. 

    Dann das Logging auf dem DC mit Safeword Software im Auge behalten und sich im Userportal mit einem Remotenutzer einloggen, der tokenbasierende Authentifizierung verwenden soll und fertig eingerichtet ist.

    Hat bei mir dazu geführt, dass ich nach einigen Versuchen auf dem DC gesehen habe, dass Radius Anfragen am DC ankommen und später dann auch erfolgreich waren, obwohl mir die ASG sagt ( bei Radiuskonfiguration), dass dem nicht so ist --> suboptimal

    Wenn also Einloggen am Userportal klappt, ist der Rest, nämlich Login per SSL VPN ein Klacks. Als Passwort kommt dann anstelle des Domänenpasswortes einfach das vom Token generierte OTR rein und und ab geht er, der Peter.

    Vielen Dank für Eure Unterstützung bei der Sache.

    Ralf
  • Hi Ralf,

    alles wird gut :-). Freut mich, das du es hinbekommen hast, obwohl das erstmal alles nicht so richtig normal klingt - aber wenns funktioniert... 

    Ich hab den Eindruck, das das Problem eher beim Safeword zu suchen ist. Vielleicht kann ja mal jemand, der eine ähnlich Konstellation laufen hat, sagen wie es beim ihm aussieht.

    Viele Grüße
    Manfred
  • ja, mit jemanden, der eine gleiche Konfig am Laufen hat (Safeword als Radius Server + Astaro als Firewall mit SSL VPN) würde ich mich gerne mal austauschen.

    Allerdings bin ich ersteinmal froh, DASS es geht [:)]

    Ich wünnsche Euch noch einen schönen Tag,

    Monthy