Authentifizierung durch Aladdin Safeword + OTP Token mittels Astaro SSL VPN

Hallo an Alle,

werde es heute abend mit dem IAS nochmal testen. Bisher jedoch scheitert es bereits an der Abfrage von der Astaro zum Radius Server. Sehe im Log auch nicht, dass wenigstens auf Port 1812 UDP ne Anfrage bis zum Radius Server kommt. Vielleicht ist ja auch das bereits mein Problem. Ich werde testen und berichten.

Monthy

Aber ein Ping von der ASG auf den Radius Server bekommst du schon durch, oder?

Hallo hallowach,

also hier nun das ergebnis meiner Bemühungen vom gestrigen Abend.

Wenn ich den MS eigenen IAS nehme, bekomme ich auf der Astaro beim Test der Verbindung mit passendem Secret wenigstens schonmal ein "Server passed".
Sobald ich jedoch die Gruppenzugehörigkeit testen will, stellt er auf stur.

Man kann also festhalten, die Verbindung vond er ASG zum IAS steht. Die Abfrage der passenden AD Gruppe scheitert.
Daher bin ich gerade dabei, in der IAS Richtlinie zu ergründen, warum er die Anfrage nicht zulässt. Ebenfalls scheint der NAS Identifier ein Problem darzustellen.

DNS Auflösung und Ping ist kein Problem von Seiten der Astaro.

Monthy

Probier mal folgendes HowTo:
http://portal.knowledgebase.net/display/2n/kb/article.asp?aid=225210&n=7&s=1

Ist nicht ganz aktuell, aber sollte funktionieren!

Gruß, Mario

Hallo Mario,

Der Link scheint nicht mehr zu funktionieren. Hab es mit 2 verschiedenen Browsern getestet.

Monthy

Hab's auch gerade getestet, Link funktioniert.

Ansonsten in der Knowledgebase nach Radius suchen!

Hi Monthy,

Hallo hallowach,
Wenn ich den MS eigenen IAS nehme, bekomme ich auf der Astaro beim Test der Verbindung mit passendem Secret wenigstens schonmal ein "Server passed".
Sobald ich jedoch die Gruppenzugehörigkeit testen will, stellt er auf stur.

hast du das Safeword auf dem gleichen Server laufen wie den IAS? Vielleicht vertragen die sich nicht miteinander (belegen die gleichen Ports, IAS blockt alles andere, etc.)

Gruß
Manfred

Hallo und guten Morgen Manfred,

ich habe das Safeword AD Snap in auf dem DC erstellt, weil nach Anleitung Aladding die die beste Integration bieten soll. Bei der Radius Authentifizierung hatte ich bisher entweder den IAS als einzigen Radius Server oder den mitgelieferten Safeword Radius Server installiert. Derzeit teste ich noch einmal genau nach Admin Guide von Safeword die Konfiguration von Safeword2008 + mitgeliefertem Radius auf einem jungfräulichen 2003er Server.

Ich werde berichten, wenn ich endlich ein Erfolgserlebnis habe. 

Danke für die bisherige Unterstützung.

Monthy

Hallo an Alle,

wollte auf diesem Wege mitteilen, dass ich es nun hinbekommen habe.

Bei mir funktioniert es nun in folgender Konstellation:

Installation der Safeword Software auf einem Server, der als Backup DC in der Domäne läuft (ohne AD Rolle als reiner MemberServer hab ich es nicht läuffähig bekommen, obwohl es auch gehen soll)

Als ESP Addon Software den Safeword eigenen Radius Server mit installieren. Dieser wird standardmässig mit Port 5031 für Radius installiert. Mit diesem hab ich es nicht zur Authentifizierung geschafft. Daher umgestellt auf Standard Radius Port UDP 1812 und Dienste durchstarten. Dann das komplette logging in der Safeword Software einschalten, damit man sieht, wenn eine Anfrage reinkommt.

Als nächstes warten, bis die AD Schemaerweiterung greift, in der Zwischenzeit die AD Nutzer einrichten, indem man die Token zuweisst etc.

Auf der ASG dann SSL VPN soweit einrichten, dass Radius User erlaubt sind. VOrab bei Authentification den Radius Server definieren. Man kann es sich sparen, einen Auth Test mit Shared Secred oder eine Testauth für einen Example User in diesem Fenster durchzuführen. Bei mir erscheint immer eine fehlerhafte Authentifizierung. Ebenso kann die ASG keinen der User angeblich im Radius finden. Das alleine hat mich viele Haare gekostet. Trotzdem die Einstellungen speichern und im Userportal hinterlegen, dass die Radius User auch einloggen dürfen. So kann man bequem testen, ob die Authentifizierung klappt. 

Dann das Logging auf dem DC mit Safeword Software im Auge behalten und sich im Userportal mit einem Remotenutzer einloggen, der tokenbasierende Authentifizierung verwenden soll und fertig eingerichtet ist.

Hat bei mir dazu geführt, dass ich nach einigen Versuchen auf dem DC gesehen habe, dass Radius Anfragen am DC ankommen und später dann auch erfolgreich waren, obwohl mir die ASG sagt ( bei Radiuskonfiguration), dass dem nicht so ist --> suboptimal

Wenn also Einloggen am Userportal klappt, ist der Rest, nämlich Login per SSL VPN ein Klacks. Als Passwort kommt dann anstelle des Domänenpasswortes einfach das vom Token generierte OTR rein und und ab geht er, der Peter.

Vielen Dank für Eure Unterstützung bei der Sache.

Ralf

Hi Ralf,

alles wird gut :-). Freut mich, das du es hinbekommen hast, obwohl das erstmal alles nicht so richtig normal klingt - aber wenns funktioniert... 

Ich hab den Eindruck, das das Problem eher beim Safeword zu suchen ist. Vielleicht kann ja mal jemand, der eine ähnlich Konstellation laufen hat, sagen wie es beim ihm aussieht.

Viele Grüße
Manfred

ja, mit jemanden, der eine gleiche Konfig am Laufen hat (Safeword als Radius Server + Astaro als Firewall mit SSL VPN) würde ich mich gerne mal austauschen.

Allerdings bin ich ersteinmal froh, DASS es geht [:)]

Ich wünnsche Euch noch einen schönen Tag,

Monthy

Hallo an Alle,

hier eine kurze Anleitung, wie man Safeword 2008 so installiert, dass es in Zusammenarbeit mit der Astaro einwandfrei funktioniert:

Bei einem AD mit einer Root und Childdomänenstruktur ist es wichtig, vorher zu klären, welche Nutzer tokenbasierende Authentifizierung durchführen sollen.
In meinem Fall waren es die User der Childdomäne. Daher sollte die eigentliche Safeword Basisinstallation auf einem Memberserver oder AD Controller der Childdomäne erfolgen, aber vorerst OHNE das AD Plugin.
Dies hat folgenden Hintergrund. Wenn man das AD Plugin auf dem DC einer Childdomäne installieren will, klappt die Schemaerweiterung nicht, denn dies muss zwingend auf einem DC in der Root Domäne erfolgen.

OK, nach Installation der Basiskomponenten auf einem Server der Childdomäne muss man nun eben angesprochene Schemaerweiterung einem DC in der Rootdomäne installieren. Dies geschieht, indem man bei den Installationsoptionen lediglich das AD Plugin der Safeword Software installiert, nicht nochmals die Basiskomponenten. Bei der Installation wird man nach dem Server gefragt, der die Basiskomponenten enthält. Dort einfach den DC der Childdomäne angeben, auf dem die Basiskomponenten installiert wurden. Ports können alle so gelassen werden.

Wenn die Schemaerweiterung durch ist, kann man nun auf dem DC der Childdomäne nachträglich das AD Plugin installieren, was nun auch fehlerfrei gelingt, da das Schema bereits angepasst wurde.

Wenn soweit alles erledigt ist, kann man mit der Aktivierung des Produktes und Zuweisen der Token beginnen. Bei dieser AD Struktur ist eine globale Sicherheitsgruppe von Aladdin/Safeword vorgeschrieben, in die man die Tokennutzer als Mitglieder aufnimmt.

Wenn dies erledigt ist, macht man sich Gedanken, wie und wo authentifiziert werden soll. Ggf einen extra Server in die DMZ stellen, der die Radius Anfragen von der Firewall entgegennimmt und an den internen DC der Childdomäne weiterleitet, der dann prüft, ob die Berechtigungen passen (Gruppe und Nutzer). Wenn vom Server in der DMZ keine LDAP Anfragen auf die interne Domäne erlaubt sind, muss jegliche Authentifizierungsanfrage an den DC geleitet werden. 
Auf dem Authentifizierungsserver muss ein Radiusserver sein. Safeword bringt einen eigenen Radius mit, der jedoch ein Bestandteil des ESP (Enterprise Solution Pack) ist und daher nur 30 Tage Trial zur Verfügung steht.

Daher war mein Weg die Authentifizierung über IAS. Es muss also der IAS korrekt installiert sein. Testen kann man das dann aus der Astaro heraus, indem man sich mit einem Nutzer, der bereits in der globalen Sicherheitsgruppe für die Tokennutzung existiert, am Userportal anmeldet. Wenn dies fehlerfrei klappt, kann man den Safeword IAS Agent auf dem IAS Server installieren. Dieser ist kein Bestandteil des ESP und kann daher zeitlich unbegrenzt genutzt werden. Um ihn zu installieren, muss man jedoch auf der Aladdin CD unter Components das Setup für IAS suchen (nicht das Radiussetup, das ist der safewordeigene Radiusserver des ESP).
Nach Installation sollte der Server einmal durchgestartet werden. Nun noch über die Konfiguration aus der Safeword Software heraus den IAS konfigurieren. Dort muss stehen, wohin er seine Auth Anfragen weiterleitet (Child DC mit Basiskomponenten) und welche AD Gruppen für die Tokennutzung erlaubt sind (bei IAS Standort in DMZ ohne LDAP Gruppenabfrage müssen alle Auth Anfragen nach intern weitergeleitet werden)

So, wenn alles eingerichtet ist, kann auf dem ASG die Radius Konfig durchgeführt werden. Man kann auch mehrere Auth Server konfigurieren, die nach Reihenfolge ind er ASG abgefragt werden. Konfiguration der IAS Server muss dann identisch zu meiner Beschreibung erfolgen.

Nun sollte man endlich die Möglichkeit haben, sich per SSL VPN an der Asatro mit OTP zu authentifizieren. Zusätzlich kannm an mit der Safeword Software noch einen Pin vergeben, der dann an das OTP angehangen werden muss. So erhöht man nochmals die Sicherheit. Wenn es Probleme beim verbinden gibt, dannd as Logging auf der Safeword Konfiguration erhöhen und im Ereignisprotokoll schauen, wo es scheitert.

Falls noch Fragen sind, einfach hier rein posten. Habe durch reichlich Selbstversuche den für mich funktionierenden Weg gefunden und hoffe mal, dass andere Nutzer bei Ihrer Installation wesentlich weniger Probs und vor allem Zeitaufwand haben.

Monthy

Hallo an Alle,

hier eine kurze Anleitung, wie man Safeword 2008 so installiert, dass es in Zusammenarbeit mit der Astaro einwandfrei funktioniert:

Bei einem AD mit einer Root und Childdomänenstruktur ist es wichtig, vorher zu klären, welche Nutzer tokenbasierende Authentifizierung durchführen sollen.
In meinem Fall waren es die User der Childdomäne. Daher sollte die eigentliche Safeword Basisinstallation auf einem Memberserver oder AD Controller der Childdomäne erfolgen, aber vorerst OHNE das AD Plugin.
Dies hat folgenden Hintergrund. Wenn man das AD Plugin auf dem DC einer Childdomäne installieren will, klappt die Schemaerweiterung nicht, denn dies muss zwingend auf einem DC in der Root Domäne erfolgen.

OK, nach Installation der Basiskomponenten auf einem Server der Childdomäne muss man nun eben angesprochene Schemaerweiterung einem DC in der Rootdomäne installieren. Dies geschieht, indem man bei den Installationsoptionen lediglich das AD Plugin der Safeword Software installiert, nicht nochmals die Basiskomponenten. Bei der Installation wird man nach dem Server gefragt, der die Basiskomponenten enthält. Dort einfach den DC der Childdomäne angeben, auf dem die Basiskomponenten installiert wurden. Ports können alle so gelassen werden.

Wenn die Schemaerweiterung durch ist, kann man nun auf dem DC der Childdomäne nachträglich das AD Plugin installieren, was nun auch fehlerfrei gelingt, da das Schema bereits angepasst wurde.

Wenn soweit alles erledigt ist, kann man mit der Aktivierung des Produktes und Zuweisen der Token beginnen. Bei dieser AD Struktur ist eine globale Sicherheitsgruppe von Aladdin/Safeword vorgeschrieben, in die man die Tokennutzer als Mitglieder aufnimmt.

Wenn dies erledigt ist, macht man sich Gedanken, wie und wo authentifiziert werden soll. Ggf einen extra Server in die DMZ stellen, der die Radius Anfragen von der Firewall entgegennimmt und an den internen DC der Childdomäne weiterleitet, der dann prüft, ob die Berechtigungen passen (Gruppe und Nutzer). Wenn vom Server in der DMZ keine LDAP Anfragen auf die interne Domäne erlaubt sind, muss jegliche Authentifizierungsanfrage an den DC geleitet werden. 
Auf dem Authentifizierungsserver muss ein Radiusserver sein. Safeword bringt einen eigenen Radius mit, der jedoch ein Bestandteil des ESP (Enterprise Solution Pack) ist und daher nur 30 Tage Trial zur Verfügung steht.

Daher war mein Weg die Authentifizierung über IAS. Es muss also der IAS korrekt installiert sein. Testen kann man das dann aus der Astaro heraus, indem man sich mit einem Nutzer, der bereits in der globalen Sicherheitsgruppe für die Tokennutzung existiert, am Userportal anmeldet. Wenn dies fehlerfrei klappt, kann man den Safeword IAS Agent auf dem IAS Server installieren. Dieser ist kein Bestandteil des ESP und kann daher zeitlich unbegrenzt genutzt werden. Um ihn zu installieren, muss man jedoch auf der Aladdin CD unter Components das Setup für IAS suchen (nicht das Radiussetup, das ist der safewordeigene Radiusserver des ESP).
Nach Installation sollte der Server einmal durchgestartet werden. Nun noch über die Konfiguration aus der Safeword Software heraus den IAS konfigurieren. Dort muss stehen, wohin er seine Auth Anfragen weiterleitet (Child DC mit Basiskomponenten) und welche AD Gruppen für die Tokennutzung erlaubt sind (bei IAS Standort in DMZ ohne LDAP Gruppenabfrage müssen alle Auth Anfragen nach intern weitergeleitet werden)

So, wenn alles eingerichtet ist, kann auf dem ASG die Radius Konfig durchgeführt werden. Man kann auch mehrere Auth Server konfigurieren, die nach Reihenfolge ind er ASG abgefragt werden. Konfiguration der IAS Server muss dann identisch zu meiner Beschreibung erfolgen.

Nun sollte man endlich die Möglichkeit haben, sich per SSL VPN an der Asatro mit OTP zu authentifizieren. Zusätzlich kannm an mit der Safeword Software noch einen Pin vergeben, der dann an das OTP angehangen werden muss. So erhöht man nochmals die Sicherheit. Wenn es Probleme beim verbinden gibt, dannd as Logging auf der Safeword Konfiguration erhöhen und im Ereignisprotokoll schauen, wo es scheitert.

Falls noch Fragen sind, einfach hier rein posten. Habe durch reichlich Selbstversuche den für mich funktionierenden Weg gefunden und hoffe mal, dass andere Nutzer bei Ihrer Installation wesentlich weniger Probs und vor allem Zeitaufwand haben.

Monthy