Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 38 subscribers
  • Views 2008 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Probleme AD-Integration

bitter
Hallo,

folgendes Szenario und Problem:

ASG 220, V.7.502
MS Windows 2003 Server (primärer Domaincontroller und AD-Server)

Unter Benutzer->Authentifizierung wurde der AD-Server eingetragen. Hierzu wurde im AD ein Bind-User (Bind-DN) mit Admin-Rechten angelegt. Es wurden zwei Szenarien probiert und der Servertest funktionierte damit:

CN=Administrator,CN=Users,CN=lokaldomain,CN=de
CN=BindADS,CN=Users,CN=lokaldomain,CN=de

Dann wurde der Base-DN User getestet:

OU=***Users,CN=Users,CN=lokaldomain,CN=de

Das hat auch funktioniert und der User konnte erfolgreich im AD abgefragt werden.

Unter Benutzer->Authentifizierung->SSO wurde dann der Domainbeitritt erfolgreich initiiert.

Nun wurde in der Web-Security beim http-Proxy der Modus AD SSO gewählt, da die User sich nur einmal im Netz authentifizieren sollen. Bis dahin eigentlich alles ganz logisch.

Beim nun folgenden Test des Web-Zugriffs mit der Einstellung AD SSO für den http-Proxy wird der gesamte Web-Traffic irgendwie vom Contentfilter defaultmäßig geblockt, so die Fehlermeldung im httpd. Wird nun der Proxy-Betriebsmodus auf "Standard" oder "Einfache Benutzerauthentifizierung" gesetzt, dann funktioniert der Web-Zugriff. Bei letzterem allerdings nur mit nochmaliger Anmeldeprozedur, was ja nicht erwünscht ist.

Die Analysmöglichkeiten in den Logfiles sind hierfür nicht sehr ergiebig.

Die Abfrage des AD mit einem LDAP-Browser funktioniert übrigens bestens.

Hat jemand Rat, der schon desöfteren AD SSO-Installationen implementiert hat? Wie könnte man das Problem sinnvoll auf beiden Seiten AD und ASG analysieren?

Vielen Dank.

Grüße


This thread was automatically locked due to age.
Parents
  • 0
    Hallo bitter,

    Dass Du im SSO-Modus nur eine Contentfilter blocked page erhalten hast ohne Dich authentifizieren müssen, ist eigentlich erstmal ein gutes Zeichen.

    Mit dem Server hast Du wohl "doppelt gemoppelt". Wenn Du unter "Benutzer" -> "Authentifizierung" einen Server einträgst, dann ist der nicht für SSO sondern für die anderen Authentifizierungsmöglichkeiten (SSO läuft über NTLMv2/Kerberos und nicht LDAP). Kick den also erstmal raus, um nicht in "Versuchung/Verwechslung" zu kommen. Soweit ich mich erinnere musst Du dann auf der ASG eine 'static members' Gruppe anlegen und ihr den *selben* Namen wie der gewünschten Gruppe im AD geben.

    Von was für einer Fehlermeldung im "httpd" sprichst Du? Bitte bei sowas die entsprechenden Logfile-Zeilen mit posten.
Reply
  • 0
    Hallo bitter,

    Dass Du im SSO-Modus nur eine Contentfilter blocked page erhalten hast ohne Dich authentifizieren müssen, ist eigentlich erstmal ein gutes Zeichen.

    Mit dem Server hast Du wohl "doppelt gemoppelt". Wenn Du unter "Benutzer" -> "Authentifizierung" einen Server einträgst, dann ist der nicht für SSO sondern für die anderen Authentifizierungsmöglichkeiten (SSO läuft über NTLMv2/Kerberos und nicht LDAP). Kick den also erstmal raus, um nicht in "Versuchung/Verwechslung" zu kommen. Soweit ich mich erinnere musst Du dann auf der ASG eine 'static members' Gruppe anlegen und ihr den *selben* Namen wie der gewünschten Gruppe im AD geben.

    Von was für einer Fehlermeldung im "httpd" sprichst Du? Bitte bei sowas die entsprechenden Logfile-Zeilen mit posten.
Children
  • 0 in reply to trollvottel
    Hallo bitter,

    Dass Du im SSO-Modus nur eine Contentfilter blocked page erhalten hast ohne Dich authentifizieren müssen, ist eigentlich erstmal ein gutes Zeichen.

    Mit dem Server hast Du wohl "doppelt gemoppelt". Wenn Du unter "Benutzer" -> "Authentifizierung" einen Server einträgst, dann ist der nicht für SSO sondern für die anderen Authentifizierungsmöglichkeiten (SSO läuft über NTLMv2/Kerberos und nicht LDAP). Kick den also erstmal raus, um nicht in "Versuchung/Verwechslung" zu kommen. Soweit ich mich erinnere musst Du dann auf der ASG eine 'static members' Gruppe anlegen und ihr den *selben* Namen wie der gewünschten Gruppe im AD geben.

    Von was für einer Fehlermeldung im "httpd" sprichst Du? Bitte bei sowas die entsprechenden Logfile-Zeilen mit posten.


    Hallo,

    das "doppelt gemoppelt" muß wohl sein, da ich ja sonst nirgendwo, auf die Benutzergruppen des ADS zugreifen kann. Z.B. wenn ich Gruppen auf der Astaro anlege, denen ich User aus dem ADS zuordnen möchte. 
    Ich habe erstmal diese Eintrage unter "Benutzer" -> "Authentifizierung" drin gelassen.

    Der Tipp mit der identisch zu benamenden Benutzergruppe auf der ASG scheint der Schlüssel gewesen zu sein. Ich habe nach der Einrichtung einer solchen Gruppe von der Konsole mit "ldapsearch..."
     eine LDAP-Abfrage durchgeführt. Hier wurde im Gegensatz zum Versuch letzte Woche nun alles korrekt inkl. der Gruppen abgefragt.

    Bei den Tests hatte ich wohl auch irgendwann den Haken bei "Authentifizierung->Benutzer automatisch erstellen" raus genommen. Den hereingenommen und die entsprechenden Funktionen aktiviert - das hat dann zum Erfolg beigetragen und die Authentifizierung via AD SSO funktioniert nun.

    Besten Dank und Grüße
  • 0 in reply to bitter
    Dennoch, der Servereintrag ist nicht notwendig, wenn die ASG der Domain gejoined ist - Das ist dann nur für andere Dienste. Wie gesagt, SSO läuft nicht über LDAP.
  • 0 in reply to trollvottel
    moin,

    für sso muss der auth server eingetragen sein und das system der domäne hinzugefügt worden sein.

    sven

    Astaro user since 2001 - Astaro/Sophos Partner since 2008

Unfiltered HTML