Thread Info
  • State Not Answered
  • Replies 21 replies
  • Subscribers 0 subscribers
  • Views 7538 views
  • Users 0 members are here
Options
Suggested

[v7.086] Can't authenticate with ActiveDirectory

KazunoriTsumura
I can't authenticate with ActiveDirectory.

In v7.011, I can authenticate of End User Portal with ActiveDirectory.

ActiveDirectory Server : Windows Server 2003 Standard Edition (Jpn) with ServicePack 1

There is following message in aua.log.
aua[6302]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="0.0.0.0" user="test1" caller="portal" reason="DENIED"

Is this issue a bug?
  • 0
    Certainly not ... it's just saying that your authentication failed.

    Reasons can be numerous. Did you check/review your configuration? Is your "test1" user contained in a backend group with AD membership? Is this group added to the allowed users/groups for the portal?

    Cheers
  • 0 in reply to megaposer
    In v7.011, I can authenticate of End User Portal with ActiveDirectory.
    (Same ASG Settings, and Same ActiveDirectory Server, Same User/Group)

    And I was able to log in to End User Portal in "user1".
    Even if I am doing the same setting, I can't log in in v7.086.
    The situation doesn't turn into even v7.090.

    A user should be made automatically by ASG when I enable the ActiveDirectory authentication.
    However, even it isn't done in v7.1 beta.
  • 0 in reply to KazunoriTsumura
    Additonal Infomation...

    I made a user "test1", and authentication setting to "remote".
    Then I succeeded in the authentication.

    Perhaps it is an issue that there isn't automatic user making.
    (Even if I am enabling "Automatic user creation".)
  • 0 in reply to KazunoriTsumura
    Hi,

    we cannot reproduce this issue here. Automatic user creation works for Active Directory and End-user Portal, as well as any other facility eligible for AD authentication.

    Please ensure that you have limited the backend membership in the AD group you have created and assigned for portal access. There is a checkbox in the group's definition (Users >> Group) when you edit it:

    "Limit to backend group(s) membership"

    Please ensure that the respective AD group defined on your AD server is specified here. You do not need to create your "test1" user manually.

    Cheers
  • 0 in reply to megaposer
    Hi there, 

    did you rejoin to the Active Directory after the beta update?

    thx
    Gert
  • 0 in reply to Gert Hansen
    Hello!

    we've got the same problem, too.
    One ASG 7.011 uses Windows 2000 Server and the other ASG 7.011 system uses Windows 2003 SBS-Server.
    With 2003 SBS ASG-System we can log in with new users to the End-User-Portal. After the first log in, the user is created automaticly by astaro.
    With the 2000 ASG-System it doesn't work. I get this error message:
    >> 2007:11:28-21:33:27 (none) aua[14874]: id="3005" severity="warn" sys="System"
    >> sub="auth" name="Authentication failed" srcip="0.0.0.0" user="Administrator"
    >> caller="portal" reason="DENIED"

    But the SSO authentication with the web-proxy works 100%!

    The settings for the End-User-Portal are:
    Allowed networks: any
    Allow all users

    I've changed the settings to our web-user-group but it doesn't works, too.

    Best regards
    Markus
  • 0 in reply to Markus_de
    Hi all,

    were you able to (re-)join the domain with your ASG and the Active Directory Server(s) causing the failed authentications?

    Regards
  • 0 in reply to megaposer
    I made "test2" user in ActiveDirectory.
    And I made "ADUSERS" group in ASG. ( Grouptype:Backend membership, Backend: ActiveDirectory)
    Then I was able to log in to end user portal in a "test2" user.

    Is this movement specification?
    I think so that there is an issue a little if it is specification.
    For example, it is the time that I want to limit the user who can use SSL-VPN.

    Best Regards,
  • 0 in reply to Markus_de
    I have my ASL box joined to the domain ( Domain had to be in all CAPS)

    This may just be the way things are supposed to be, but I have discovered that when you are setting up the AD groups to use for authentication, the group name is case sensitive.  As in - " domain users " will not authenticate but " Domain Users " will.  I realise that a lot of Unix/Linux stuff is case specific, but, with the exception being passwords, Windows AD doesn't really care if the user name matches.  "rojohnson" or "RoJohnson" are the same when it comes to domain logons.

    Anyway....

    WebAdmin authentication from AD works ( Shows in the log that it authenticated from Active directory )

    With HTTP Profile authenticating in AD SSO mode, works great.  User names are now in the logs!!  Thanks!!

    With HTTP Profile authenticating in Basic Mode, authentication fails.  always.
  • 0 in reply to TXGARobert@Home
    I found that since 7.075, AD group specification must be done using the EXACT CASE (upper/lowercase) of the group as it is named in AD. This didn't used to be the case with 7.011.
    After upgrading to 7.075, I couldn't access WebAdmin using my AD user credentials, which I could with the same config under 7.011. Turned out that I'd specified the AD group using all lowercase. In AD, the same group used a mix of upper and lowercase. After I modified the group spec in WebAdmin to reflect this, I was able to successfully use my AD user credentials.
    Hope it's of some use.

    Sorry, I've just fully read TXGRobert's post, and realise I've re-iterated one of the points made!
Unfiltered HTML