Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

AD SSO bringt Fehler

Hallo @All,

seit Heute habe ich das Problem, dass der Proxy keine Authentifizierung gegen das ADS mehr hinbekommt. Jeder Zugriff über den Proxy wird mit "Access denied" quittiert. Der zugehörige Protokollauszug sieht dann so aus:

2014:03:10-13:05:16 fw-gate httpproxy[5069]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xdf12490" function="adir_auth_process_negotiate" file="auth_adir.c" line="1108" message="gss_accept_sec_context: Key table entry not found"

Ich habe die Firewall bereits neu in die Domäne aufgenommen, ohne den erhofften Erfolg. Die Schreibweise des FQDN habe ich ebenfalls abgeglichen, da ist auch alles IO. Unsere Firewall läuft im Standard-Modus und die Domäne ist Win2k3. 

Als Übergangslösung habe ich die Authentifizierungsmethode von "AD SSO" auf "Keine" umgestellt. Soweit ist erst mal das Symptom abgeschaltet. Jetzt greifen natürlich die userbezogenen Profilfilter nicht mehr, aber das kann ich temporär verkraften.

Kann mir bitte jemand bei der Lösung dieses Problems behilflich sein?
Herzlichen Dank und eine ruhige Nacht!

U Ziegler


This thread was automatically locked due to age.
Parents
  • Hi uziegler,
    was ist seitdem passiert?

    Wenn du über "Definitionen & Benutzer" - Authentifizierungsdienste - Kartei "Server" gehst, kannst du deine Verbindung testen, ob diese Funktioniert.

    Hast du einen User eingetragen, der im AD leserecht hat?
    Diesen benötigst du.

    Nice greetings
Reply
  • Hi uziegler,
    was ist seitdem passiert?

    Wenn du über "Definitionen & Benutzer" - Authentifizierungsdienste - Kartei "Server" gehst, kannst du deine Verbindung testen, ob diese Funktioniert.

    Hast du einen User eingetragen, der im AD leserecht hat?
    Diesen benötigst du.

    Nice greetings
Children
  • Hi GuyFawkes,
    den Authentifizierungstest habe ich bereits mit unterschiedlichen Usern durchgeführt, alles IO. Und als Bind-DN steht der Admin drin, auch dieser Test ist erfolgreich.

    Passiert ist ein OS-Wechsel an einigen Clients von XP zu W7... kann nach meiner Meinung kein derartiges Problem verursachen. Andere Clients laufen schon länger mit W7.

    Dann habe ich noch von UTM 9.107 auf 9.108 und direkt danach auf UTM 9.109 upgedated. Das wäre theoretisch als Ursache möglich. Allerdings ist das jetzt 2 Wochen her und erst seit dem Wechsel der Client-OS tritt das Problem auf.

    Weiter wurde in zeitlichem Zusammenhang ein W2k8-Server als einfacher Member-Server in Betrieb genommen, der hat aber keine Domänenfunktionen. Evtl. hat der Kollege die GP-MMC angestartet. Ich kann zwar nicht ausschließen, dass er die Gruppenrichtlinien angefasst hat, aber das wäre schon ziemlich daneben...wenn ich so drüber nachdenke kommt das dem Problem schon ziemlich nahe...Administration von einem W2k3-Server und parallel von einem W2k8-Server klingt nach Verwirrungen...
    Wäre es in dem Fall besser, den W2k8-Server hochzustufen und die Administration auf diesen Serever zu verlegen?
    Und wie kann ich die Kerberos-Authentifizierung der UTM detailliert prüfen?

    Oh Ha, das wird scheinbar doch nicht so einfach. Trotzdem schon einmal Danke für weitere Gedanken und Anregungen.