Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

AD SSO bringt Fehler

Hallo @All,

seit Heute habe ich das Problem, dass der Proxy keine Authentifizierung gegen das ADS mehr hinbekommt. Jeder Zugriff über den Proxy wird mit "Access denied" quittiert. Der zugehörige Protokollauszug sieht dann so aus:

2014:03:10-13:05:16 fw-gate httpproxy[5069]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xdf12490" function="adir_auth_process_negotiate" file="auth_adir.c" line="1108" message="gss_accept_sec_context: Key table entry not found"

Ich habe die Firewall bereits neu in die Domäne aufgenommen, ohne den erhofften Erfolg. Die Schreibweise des FQDN habe ich ebenfalls abgeglichen, da ist auch alles IO. Unsere Firewall läuft im Standard-Modus und die Domäne ist Win2k3. 

Als Übergangslösung habe ich die Authentifizierungsmethode von "AD SSO" auf "Keine" umgestellt. Soweit ist erst mal das Symptom abgeschaltet. Jetzt greifen natürlich die userbezogenen Profilfilter nicht mehr, aber das kann ich temporär verkraften.

Kann mir bitte jemand bei der Lösung dieses Problems behilflich sein?
Herzlichen Dank und eine ruhige Nacht!

U Ziegler


This thread was automatically locked due to age.
Parents
  • Super,
    hast aber dennoch meine Frage(n) nicht beantwortet [;)]

    Nice greetings
  • Sorry, ich war nicht davon ausgegangen, dass hier noch was nachkommt. Gern kommt hier die Antwort auf Deine Frage:
    Nein, ich habe ausschließlich die primäre User-Gruppe genutzt. Aber der Gedanke hinter der separaten Gruppe gefällt mir. Ich werde das also demnächst austesten und umsetzen.

    Aber jetzt habe auch ich noch kurz die Frage, wo der Unterschied liegt? Ausser der komfortablen Situation, den User über das AD für das Internet über die Gruppenmitgliedschaft zu berechtigen sehe ich keinen wirklichen Unterschied.

    @GayFawkes, kannst Du mich dazu bitte kurz aufklären?
    Danke!!
Reply
  • Sorry, ich war nicht davon ausgegangen, dass hier noch was nachkommt. Gern kommt hier die Antwort auf Deine Frage:
    Nein, ich habe ausschließlich die primäre User-Gruppe genutzt. Aber der Gedanke hinter der separaten Gruppe gefällt mir. Ich werde das also demnächst austesten und umsetzen.

    Aber jetzt habe auch ich noch kurz die Frage, wo der Unterschied liegt? Ausser der komfortablen Situation, den User über das AD für das Internet über die Gruppenmitgliedschaft zu berechtigen sehe ich keinen wirklichen Unterschied.

    @GayFawkes, kannst Du mich dazu bitte kurz aufklären?
    Danke!!
Children
No Data