This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN Zugang (über Sophos VPN Client) sowie User Portal Fehler: Ungültiger Benutzername /Kennwort, oder Zugang verweigert aufgrund einer internen Vorgabe.

Sehr geehrtes Forum, 

Ich habe seit Montag das Problem, das sich zwei User nicht mehr am Userportal & per VPN Client unter Windows 10 anmelden können, es kommt folgende Fehlermeldung:

Ungültiger Benutzername / Kennwort, oder Zugang verweigert aufgrund einer internen Vorgabe. -> im Userportal. 

Am VPN Client unter Windows kommt keine Fehlermeldung, im Status sehe ich: 
AUTH: Received control message: AUTH_FAILED
Falsches Kennwort der User schließe ich aus. 

Die VPN User werden über eine Sicherheitsgruppe im AD synchronisiert, sind nicht gesperrt, können sich im Büro anmelden. 


Jetzt ist meine Frage, wo kann ich schauen? Welches der Protokolle gibt etwas mehr Auskunft? 


Die Möglichkeit, Flush Authentication Cache zu leeren habe ich gemacht, kein Erfolg. 
https://community.sophos.com/utm-firewall/f/german-forum/119146/anmeldung-am-user-portal-funktioniert-bei-einem-user-uber-otp-nicht


Hier hat jemand Anmelden an im AD als Grund gehabt, ist bei mir nicht der Fall.
https://community.sophos.com/utm-firewall/f/german-forum/59336/userportal-zugang-verweigert


Wir setzen sind SG125 mit V9.711-5 ein, Lizenzen sind gerade verlängert worden. 

Gruß
Carsten Lehmann



This thread was automatically locked due to age.
Parents
  • Hallo,

    wir haben seit gestern Abend das gleiche Problem.

    User werden per Prefetch aus dem AD auf der Sophos UTM angelegt, das funktioniert ohne Probleme.

    Auf der Sophos gibt es eine Gruppe für SSL-VPN-Users, die die passende AD-Gruppe enthält.
    Zusätzlich noch eine Gruppe für das User-Portal, selbes Schema.

    Dieses Konstrukt hat über Monate/Jahre problemlos funktioniert.
    Seit gestern Abend können sich diese Benutzer nicht mehr im User Portal anmelden und sich nicht mehr per VPN einwählen.
    Die Fehlermeldungen/Logeinträge sind identisch wie bei Herrn Lehmann.

    Sowohl an der UTM-Konfig als auch an den AD-Gruppen/-Benutzern wurde nichts verändert.
    Die Tests bei den Auth-Servern funktionieren problemlos, User Prefetch auch ohne Probleme.

    Erstelle ich eine Gruppe auf der Sophos, die die gesyncten User enthält, funktionieren User Portal und VPN ohne Probleme.

    So langsam glaube ich nicht mehr an einen Zufall oder einen Fehler auf unserer Seite.

  • 'AUTH_FAILED' kann alles und nix sein... Aber da ist das SSL VPN Log eher nutzlos. Lieber mal das User authentication daemon Log anschauen ;-)

    9.711-5 kann ich nix gegen sagen. Seit Release drauf (SG330 HA) und keine Probleme. Nutzen ebenfalls SSL VPN mit UserPrefetch und sowohl alten, als auch neuen SSL Client bei den Usern.

  • mal das user-synclog prüfen.

    wenn die konten gefunden werden, ist die erste hürde genommen.

    sonst die ad-server verbindung mit dem test button prüfen.

    dann lässt sich die authentifizierung noch auf debugging schalten, dann steht im auth-log wirklich alles drin.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Der User-Sync funktioniert problemlos jede Nacht.

    Die Verbindung zu den AD-Servern über den Test-Button und auch darunter der Test eines Users funktionieren problemlos.

    Der Zugriff per VPN und auf das User-Portal funktionieren nicht, bei beiden wird auf eine Dynamic Membership Group verwiesen.
    Der Zugriff auf den WebAdmin funktioniert, aber das betrifft ja auch die lokale Gruppe "SuperAdmins".

    Mir ist nicht bekannt, wie man die Authentifizierung auf Debug stellen kann, ich kenn das nur bei der VPN-Einwahl.

    2022:08:10-16:12:25 utm-1 aua[3870]: id="3006" severity="info" sys="System" sub="auth" name="Running _cleanup_up_children with max_run_time: 23"
    2022:08:10-16:12:25 utm-1 aua[31659]: id="3006" severity="info" sys="System" sub="auth" name="Trying 192.168.xx.2 (adirectory)"
    2022:08:10-16:12:25 utm-1 aua[31659]: id="3006" severity="info" sys="System" sub="auth" name="Trying 192.168.xx.1 (adirectory)"
    2022:08:10-16:12:25 utm-1 aua[31659]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="192.168.xx.77" host="" user="JBE" caller="portal" reason="DENIED"



    Fix design.
    [edited by: JBertsch at 2:28 PM (GMT -7) on 10 Aug 2022]
  • Im WebAdmin gibt es beim AD-Test auch den Test einer vollständigen Anmeldung.
    Dort werden dann auch Gruppenzugehörigkeiten angezeigt.

    Sonst mal kurze Kennworte ohne Sonderzeichen verwenden.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Der Test mit der vollständigen Anmeldung funktioniert.
    Es werden nur lokale Gruppen (z.B. SuperAdmins) angezeigt, keine dynamischen.
    Werden bei dir auch die dynamischen Gruppen angezeigt?

    Die Passwörter wurden nicht verändert, das hat zuvor monatelang problemlos funktioniert.

  • ja. Ich bekomme auch die dynamischen Gruppen angezeigt.

    zeig mal die Verknüpfung von SG-Gruppen mit AD-gruppen...

    Ich denke mal, der LDAP-Read-User darf nicht die Gruppenzugehörigkeit anderer User lesen.

    Dann mal TEMPORÄR / KURZZEITIG zum Domänen-Admin machen und gegentesten.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Danke, es lag tatsächlich daran, dass Authenticated Users keinen lesenden Zugriff auf die passenden Daten im AD hatten.

Reply Children
No Data