[v7.086] Can't authenticate with ActiveDirectory

Certainly not ... it's just saying that your authentication failed.

Reasons can be numerous. Did you check/review your configuration? Is your "test1" user contained in a backend group with AD membership? Is this group added to the allowed users/groups for the portal?

Cheers

In v7.011, I can authenticate of End User Portal with ActiveDirectory.
(Same ASG Settings, and Same ActiveDirectory Server, Same User/Group)

And I was able to log in to End User Portal in "user1".
Even if I am doing the same setting, I can't log in in v7.086.
The situation doesn't turn into even v7.090.

A user should be made automatically by ASG when I enable the ActiveDirectory authentication.
However, even it isn't done in v7.1 beta.

Hi,

we cannot reproduce this issue here. Automatic user creation works for Active Directory and End-user Portal, as well as any other facility eligible for AD authentication.

Please ensure that you have limited the backend membership in the AD group you have created and assigned for portal access. There is a checkbox in the group's definition (Users >> Group) when you edit it:

"Limit to backend group(s) membership"

Please ensure that the respective AD group defined on your AD server is specified here. You do not need to create your "test1" user manually.

Cheers

Hi there, 

did you rejoin to the Active Directory after the beta update?

thx
Gert

Hello!

we've got the same problem, too.
One ASG 7.011 uses Windows 2000 Server and the other ASG 7.011 system uses Windows 2003 SBS-Server.
With 2003 SBS ASG-System we can log in with new users to the End-User-Portal. After the first log in, the user is created automaticly by astaro.
With the 2000 ASG-System it doesn't work. I get this error message:
>> 2007:11:28-21:33:27 (none) aua[14874]: id="3005" severity="warn" sys="System"
>> sub="auth" name="Authentication failed" srcip="0.0.0.0" user="Administrator"
>> caller="portal" reason="DENIED"

But the SSO authentication with the web-proxy works 100%!

The settings for the End-User-Portal are:
Allowed networks: any
Allow all users

I've changed the settings to our web-user-group but it doesn't works, too.

Best regards
Markus

Hi all,

were you able to (re-)join the domain with your ASG and the Active Directory Server(s) causing the failed authentications?

Regards

I made "test2" user in ActiveDirectory.
And I made "ADUSERS" group in ASG. ( Grouptype:Backend membership, Backend: ActiveDirectory)
Then I was able to log in to end user portal in a "test2" user.

Is this movement specification?
I think so that there is an issue a little if it is specification.
For example, it is the time that I want to limit the user who can use SSL-VPN.

Best Regards,

I have my ASL box joined to the domain ( Domain had to be in all CAPS)

This may just be the way things are supposed to be, but I have discovered that when you are setting up the AD groups to use for authentication, the group name is case sensitive.  As in - " domain users " will not authenticate but " Domain Users " will.  I realise that a lot of Unix/Linux stuff is case specific, but, with the exception being passwords, Windows AD doesn't really care if the user name matches.  "rojohnson" or "RoJohnson" are the same when it comes to domain logons.

Anyway....

WebAdmin authentication from AD works ( Shows in the log that it authenticated from Active directory )

With HTTP Profile authenticating in AD SSO mode, works great.  User names are now in the logs!!  Thanks!!

With HTTP Profile authenticating in Basic Mode, authentication fails.  always.

I found that since 7.075, AD group specification must be done using the EXACT CASE (upper/lowercase) of the group as it is named in AD. This didn't used to be the case with 7.011.
After upgrading to 7.075, I couldn't access WebAdmin using my AD user credentials, which I could with the same config under 7.011. Turned out that I'd specified the AD group using all lowercase. In AD, the same group used a mix of upper and lowercase. After I modified the group spec in WebAdmin to reflect this, I was able to successfully use my AD user credentials.
Hope it's of some use.

Sorry, I've just fully read TXGRobert's post, and realise I've re-iterated one of the points made!

I'm becoming more and more popular every day here at school...  :-) But I can't test this thing unless I do it with live data, so they are just going to have to suck it up.
-------------------------------------------------------------------------

I am using the AD to authenticate for Webadmin - Works fine.  I have my remote syslog setup to e-mail me on authentication events.  Everytime I log on to the webadbin I get an e-mail that said that the auth passed, and used AD.

When I try to use Basic Auth with a http profile, I get an e-mail saying that auth failed, and the reason is that it was "DENIED".  Using the same u/p.

 I do not appear to have any operational problems with the proxy in standard mode.  I think I have that part figured out.

But, I activated AD SSO mode throughout the district this morning, and the world seems to had came to a screaming halt for some people.

We have a mix of Win98, 2000, and XP computers at school.  All can use the proxy fine in Standard mode.

No one can use the proxy in Basic auth mode.

The Windows XP machines work fine, as far as I can tell, in AD SSO mode.

The Windows 2000 computers ( AD Joined/Members ) do not.  they just time out.  I don't even see them appearing in the HTTP log.

The Windows 98 machines do not work.  Same as the 2000 machines.

Any computer not joined to our AD fails as well, since Basic Auth doesn't work/isn't setup right.

I thought that it would try the "Fallback" option as a last chance, guess not?

Any confirmation on this?  Anyone here actually getting Basic authentication to work?  I would have sworn that it was working for me yesterday pre-v7.091, but I could be mistaken.

Finally got SSO working.

However, to get it to work, I had to join the domain via the short NETBIOS name rather than the longer fully qualified AD domain name. (ie COMPANY rather than company.com.au)

Finally got SSO working.

However, to get it to work, I had to join the domain via the short NETBIOS name rather than the longer fully qualified AD domain name. (ie COMPANY rather than company.com.au)

I did not try COMPANY, I tried COMPANY.ORG and it worked.  Neither company.org nor company would work.

SSO is working fine for me, but no Basic Auth.  Also, SSO doesn't work with my Win2000 clients.

You have any Win2000 clients that SSO works with?

I'm only testing SSO with one client at the moment, (Vista 32bit).

We have no Win2k machines on the network...  Still testing and will report back as soon as I can.

I'm only using XP clients, which work with proxy profiles running in SSO mode.
If I get chance, I'll set up a Win2000 client and give it a try.

With XP clients, basic authentication mode seems to work OK too (for me at least).
TXGARobert, did you make sure that the relevant Active Directory groups were included in the 'users/groups' box in the filter assigment? They would have been there for the profile to work in SSO mode, but you may have removed them to test it in standard mode (just guessing).

IE7 vs Firefox in basic authentication mode:
------------------------------------------
Everytime I run IE, I'm asked for a username and password (unless I opt to remember it). This applies even if an 'already authenticated' IE7 window is open

Using Firefox 2 however, once a window is running and has been authenticated, subsequent windows do not require authentication, as long as the first window is left running.

I don't know if this is of any significance, it's just an observation.

When I get a few spare minutes (!?) I'll set up a Win2k client and test it with SSO and basic auth, and report my findings.

No, I didn't remove them.  
Filter Assignment set for active directory group,  Proxy Profile set to authenticate with AD SSO, works great with XP.  Only change I make is to set auth mode to Basic, I get the box to popup asking for name / pass.  After three attempts, I get the Astaro blocked page, reason given is auth failed.

In AD SSO mode, the Win2k computers won't go anywhere except internal addresses.  I don't get a Astaro blocked page, it just sits there until the page times out.

Hi Robert,

No, I didn't remove them.  
Filter Assignment set for active directory group,  Proxy Profile set to authenticate with AD SSO, works great with XP.  Only change I make is to set auth mode to Basic, I get the box to popup asking for name / pass.  After three attempts, I get the Astaro blocked page, reason given is auth failed.

In AD SSO mode, the Win2k computers won't go anywhere except internal addresses.  I don't get a Astaro blocked page, it just sits there until the page times out.

i've discovered a problem with NTLM Authentication which shows up when using Win2000 Clients. Is it possible to install a 'hand-crafted' http proxy on your box, so you can test if this fixes the problem?

Thanks,

Sven.

Sure is, tell me what you want me to do and I will give it a try.

Hi Robert,
I set up a win2k client on my 'virtual network' (ASG setup on MS Virtual PC, with various virtual clients).
At first SSO didn't work (even with ASG having successfully joined my virtual win2k3 server). However, after applying win2k sp4, and all the available updates thereafter from windows update, SSO worked ok.
Are your Win2k clients right upto date?

Yes, all Win2K computers are running SP4.

svens did something to the proxy here at my site and aftwards the Win2k clients started working with AD SSO.

I guess they integrated the "fix" into the 7.1 release, but I am not sure.  I haven't turned AD SSO back on for the whole district because I can't seem to get Basic Auth to work.

Now that 7.1 is a release version, I can turn tickets in to support.  Hopefully, they will be able to show me what I am doing wrong and get that working.