[v7.086] Can't authenticate with ActiveDirectory

Certainly not ... it's just saying that your authentication failed.

Reasons can be numerous. Did you check/review your configuration? Is your "test1" user contained in a backend group with AD membership? Is this group added to the allowed users/groups for the portal?

Cheers

In v7.011, I can authenticate of End User Portal with ActiveDirectory.
(Same ASG Settings, and Same ActiveDirectory Server, Same User/Group)

And I was able to log in to End User Portal in "user1".
Even if I am doing the same setting, I can't log in in v7.086.
The situation doesn't turn into even v7.090.

A user should be made automatically by ASG when I enable the ActiveDirectory authentication.
However, even it isn't done in v7.1 beta.

Additonal Infomation...

I made a user "test1", and authentication setting to "remote".
Then I succeeded in the authentication.

Perhaps it is an issue that there isn't automatic user making.
(Even if I am enabling "Automatic user creation".)

Hi,

we cannot reproduce this issue here. Automatic user creation works for Active Directory and End-user Portal, as well as any other facility eligible for AD authentication.

Please ensure that you have limited the backend membership in the AD group you have created and assigned for portal access. There is a checkbox in the group's definition (Users >> Group) when you edit it:

"Limit to backend group(s) membership"

Please ensure that the respective AD group defined on your AD server is specified here. You do not need to create your "test1" user manually.

Cheers

Hi there, 

did you rejoin to the Active Directory after the beta update?

thx
Gert

Hi there, 

did you rejoin to the Active Directory after the beta update?

thx
Gert

Hello!

we've got the same problem, too.
One ASG 7.011 uses Windows 2000 Server and the other ASG 7.011 system uses Windows 2003 SBS-Server.
With 2003 SBS ASG-System we can log in with new users to the End-User-Portal. After the first log in, the user is created automaticly by astaro.
With the 2000 ASG-System it doesn't work. I get this error message:
>> 2007:11:28-21:33:27 (none) aua[14874]: id="3005" severity="warn" sys="System"
>> sub="auth" name="Authentication failed" srcip="0.0.0.0" user="Administrator"
>> caller="portal" reason="DENIED"

But the SSO authentication with the web-proxy works 100%!

The settings for the End-User-Portal are:
Allowed networks: any
Allow all users

I've changed the settings to our web-user-group but it doesn't works, too.

Best regards
Markus

Hi all,

were you able to (re-)join the domain with your ASG and the Active Directory Server(s) causing the failed authentications?

Regards

I made "test2" user in ActiveDirectory.
And I made "ADUSERS" group in ASG. ( Grouptype:Backend membership, Backend: ActiveDirectory)
Then I was able to log in to end user portal in a "test2" user.

Is this movement specification?
I think so that there is an issue a little if it is specification.
For example, it is the time that I want to limit the user who can use SSL-VPN.

Best Regards,

I have my ASL box joined to the domain ( Domain had to be in all CAPS)

This may just be the way things are supposed to be, but I have discovered that when you are setting up the AD groups to use for authentication, the group name is case sensitive.  As in - " domain users " will not authenticate but " Domain Users " will.  I realise that a lot of Unix/Linux stuff is case specific, but, with the exception being passwords, Windows AD doesn't really care if the user name matches.  "rojohnson" or "RoJohnson" are the same when it comes to domain logons.

Anyway....

WebAdmin authentication from AD works ( Shows in the log that it authenticated from Active directory )

With HTTP Profile authenticating in AD SSO mode, works great.  User names are now in the logs!!  Thanks!!

With HTTP Profile authenticating in Basic Mode, authentication fails.  always.

I found that since 7.075, AD group specification must be done using the EXACT CASE (upper/lowercase) of the group as it is named in AD. This didn't used to be the case with 7.011.
After upgrading to 7.075, I couldn't access WebAdmin using my AD user credentials, which I could with the same config under 7.011. Turned out that I'd specified the AD group using all lowercase. In AD, the same group used a mix of upper and lowercase. After I modified the group spec in WebAdmin to reflect this, I was able to successfully use my AD user credentials.
Hope it's of some use.

Sorry, I've just fully read TXGRobert's post, and realise I've re-iterated one of the points made!

I'm becoming more and more popular every day here at school...  :-) But I can't test this thing unless I do it with live data, so they are just going to have to suck it up.
-------------------------------------------------------------------------

I am using the AD to authenticate for Webadmin - Works fine.  I have my remote syslog setup to e-mail me on authentication events.  Everytime I log on to the webadbin I get an e-mail that said that the auth passed, and used AD.

When I try to use Basic Auth with a http profile, I get an e-mail saying that auth failed, and the reason is that it was "DENIED".  Using the same u/p.

 I do not appear to have any operational problems with the proxy in standard mode.  I think I have that part figured out.

But, I activated AD SSO mode throughout the district this morning, and the world seems to had came to a screaming halt for some people.

We have a mix of Win98, 2000, and XP computers at school.  All can use the proxy fine in Standard mode.

No one can use the proxy in Basic auth mode.

The Windows XP machines work fine, as far as I can tell, in AD SSO mode.

The Windows 2000 computers ( AD Joined/Members ) do not.  they just time out.  I don't even see them appearing in the HTTP log.

The Windows 98 machines do not work.  Same as the 2000 machines.

Any computer not joined to our AD fails as well, since Basic Auth doesn't work/isn't setup right.

I thought that it would try the "Fallback" option as a last chance, guess not?

Any confirmation on this?  Anyone here actually getting Basic authentication to work?  I would have sworn that it was working for me yesterday pre-v7.091, but I could be mistaken.

Finally got SSO working.

However, to get it to work, I had to join the domain via the short NETBIOS name rather than the longer fully qualified AD domain name. (ie COMPANY rather than company.com.au)

I did not try COMPANY, I tried COMPANY.ORG and it worked.  Neither company.org nor company would work.

SSO is working fine for me, but no Basic Auth.  Also, SSO doesn't work with my Win2000 clients.

You have any Win2000 clients that SSO works with?

I'm only testing SSO with one client at the moment, (Vista 32bit).

We have no Win2k machines on the network...  Still testing and will report back as soon as I can.