Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 38 subscribers
  • Views 6596 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos UTM 9 AD Authentifizierung

jheinemann
Hallo Foren-Gemeinde!

Ich habe folgendes Problem:
Ich versuche die Einrichtung der VPN-Authentifizierung durch AD-Konten auf der Sophos UTM 9 (nach dieser Anleitung: Configure AD authentication with SSL VPN using SOPHOS UTM 9 - Blogs - Tech Support Forums - TechIMO.com).

Das Abrufen der User funktioniert, sie werden auch unter Users/Groups angezeigt, es gibt auch im Log keine Fehler. Trotzdem scheitert es bei der Authentifizierung, sowohl beim User-Portal ("Invalid username/password, or access denied by policy."), als auch beim Versuch des VPN-Verbindugnsaufbaus.

Auszug aus der Log-Datei: 
2015:06:25-09:04:57 remote aua[18073]: id="3006" severity="info" sys="System" sub="auth" name="Bind test failed. Method: adirectory, error: DENIED 

2015:06:25-09:04:57 remote aua[18073]: Connection to ldaps://10.32.1.10:389 failed" 

2015:06:25-09:05:02 remote aua[18112]: id="3006" severity="info" sys="System" sub="auth" name="Spawned child for authentication test" 

2015:06:25-09:05:02 remote aua[18112]: id="3006" severity="info" sys="System" sub="auth" name="Bind test request: adirectory" 

2015:06:25-09:05:02 remote aua[18112]: id="3006" severity="info" sys="System" sub="auth" name="Bind test successfull. Method: adirectory" 


Was kann ich probieren? Welche Infos braucht ihr evtl. noch?

Schon jetzt besten Dank!

Liebe Grüße


This thread was automatically locked due to age.
  • 0
    Hi,

    gibts den Benutzer eventuell bereits lokal angelegt in der UTM?
  • 0
    sieht ja schon schwer danach aus, dass im Moment, ind em die Authentifizierung stattfinden soll, dies schon nicht klappt, weil die Credentials die da verwendet werden, nicht den Zugriff auf's AD bekommen.
    Hast du einen dedizierten User im AD dafür angelegt? Der muss nur normaler User sein, kein Admin. Und nimm zur sicherheit die UTM nochmal neu in die Domäne auf. 
    Normalerweise funktioniert die AD-Integrierung super.
  • 0
    Besten Dank für die Antworten soweit!

    @herzadmi:
    Im Moment ist sogar ein Domain-Admin eingetragen, bei Definitions & Users > Authentication Services > Servers klappt die Verbindung auch wunderbar. Ich kann die Nutzer auch aus dem AD abrufen - sie werden dann automatisch angelegt. Ich nehme also an, dass es daran nicht liegt.

    An welcher Stelle packe ich die Sophos in die Domäne? (Stichwort Single-Sign-On?)

    @wiLLow:
    Den Benutzer gibt es nicht lokal, wobei ich nicht ausschließen kann, dass ich den evtl. mal zum Test so angelegt hatte, vorher. Jetzt wird er nur 1x angezeigt. Im Prefetch-Protokoll gab es auch keine Fehler, dass irgendwas doppelt sein und/oder übersprungen wurde.

    Besten Dank
  • 0 in reply to jheinemann
    Moin,
    hastr Du in der UTM eingestellt, dass User angelegt werden?
    Definitionen & Benutzer --> Authentifizierungsdienste --> Automatische Benutzererstellung.
    Wenn der Haken nicht gesetzt ist funzt es nicht. Die UTM legt sich das beim ersten Zugriff User lokal wie im AD an.
  • 0
    Moin!

    Ja, habe ich, die Benutzer wurden auch angelegt. Im Prefetch-Log gab es keine Fehler.

    Besten Dank
  • 0
    Wo sich die UTM im AD befindet, ist egal. Ich würde auf keinen Fall den DomAdmin nehmen - brauchst du auch nicht. Mit nem dedizierten User hast du auch viel besser die Möglichkeit, in den Domaincontroller Security Logs nach dem Grund für fehlgeschlagene Anmeldungen zu suchen, weil der User meldet sich ja NUR von der UTM aus an. Der Error "DENIED" im Log deutet ja schonmal klar auf ein Rechteproblem hin, also schonmal kein Verbindungsproblem.
    Guck nochmal in die VPN und Prefetchlogs wenn du versuchst zu connecten.

    Eventuell ist es auch sowas banales wie: du willst dich mit einem AD-Konto anmelden, was es bereits als lokalen User auf der UTM gibt... Stichwort "admin"
  • 0
    Habe einen anderen Benutzer eingetragen und schon gings... Besten Dank für die Hilfe!

    Liebe Grüße
    jh
Unfiltered HTML