This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN Zugang (über Sophos VPN Client) sowie User Portal Fehler: Ungültiger Benutzername /Kennwort, oder Zugang verweigert aufgrund einer internen Vorgabe.

Sehr geehrtes Forum, 

Ich habe seit Montag das Problem, das sich zwei User nicht mehr am Userportal & per VPN Client unter Windows 10 anmelden können, es kommt folgende Fehlermeldung:

Ungültiger Benutzername / Kennwort, oder Zugang verweigert aufgrund einer internen Vorgabe. -> im Userportal. 

Am VPN Client unter Windows kommt keine Fehlermeldung, im Status sehe ich: 
AUTH: Received control message: AUTH_FAILED
Falsches Kennwort der User schließe ich aus. 

Die VPN User werden über eine Sicherheitsgruppe im AD synchronisiert, sind nicht gesperrt, können sich im Büro anmelden. 


Jetzt ist meine Frage, wo kann ich schauen? Welches der Protokolle gibt etwas mehr Auskunft? 


Die Möglichkeit, Flush Authentication Cache zu leeren habe ich gemacht, kein Erfolg. 
https://community.sophos.com/utm-firewall/f/german-forum/119146/anmeldung-am-user-portal-funktioniert-bei-einem-user-uber-otp-nicht


Hier hat jemand Anmelden an im AD als Grund gehabt, ist bei mir nicht der Fall.
https://community.sophos.com/utm-firewall/f/german-forum/59336/userportal-zugang-verweigert


Wir setzen sind SG125 mit V9.711-5 ein, Lizenzen sind gerade verlängert worden. 

Gruß
Carsten Lehmann



This thread was automatically locked due to age.
  • Weil der Username (nur Prä-2000 Windows ist hier entscheidend!) im AD 1x groß und 1x klein geschrieben wurde (warum auch immer) -> für Sophos ein "neuer" Benutzer, da in diesem Fall Case-Sensitive -> Sync legt einen 2. Benutzer an.

    Müsste man übrigens auch schnell im Directory user prefetch Log sehen (hier meckert dann der Sync, weil beide User die gleiche Mail nutzen und einer der beiden den kürzeren zieht).

  • 'AUTH_FAILED' kann alles und nix sein... Aber da ist das SSL VPN Log eher nutzlos. Lieber mal das User authentication daemon Log anschauen ;-)

    9.711-5 kann ich nix gegen sagen. Seit Release drauf (SG330 HA) und keine Probleme. Nutzen ebenfalls SSL VPN mit UserPrefetch und sowohl alten, als auch neuen SSL Client bei den Usern.

  • mal das user-synclog prüfen.

    wenn die konten gefunden werden, ist die erste hürde genommen.

    sonst die ad-server verbindung mit dem test button prüfen.

    dann lässt sich die authentifizierung noch auf debugging schalten, dann steht im auth-log wirklich alles drin.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Der User-Sync funktioniert problemlos jede Nacht.

    Die Verbindung zu den AD-Servern über den Test-Button und auch darunter der Test eines Users funktionieren problemlos.

    Der Zugriff per VPN und auf das User-Portal funktionieren nicht, bei beiden wird auf eine Dynamic Membership Group verwiesen.
    Der Zugriff auf den WebAdmin funktioniert, aber das betrifft ja auch die lokale Gruppe "SuperAdmins".

    Mir ist nicht bekannt, wie man die Authentifizierung auf Debug stellen kann, ich kenn das nur bei der VPN-Einwahl.

    2022:08:10-16:12:25 utm-1 aua[3870]: id="3006" severity="info" sys="System" sub="auth" name="Running _cleanup_up_children with max_run_time: 23"
    2022:08:10-16:12:25 utm-1 aua[31659]: id="3006" severity="info" sys="System" sub="auth" name="Trying 192.168.xx.2 (adirectory)"
    2022:08:10-16:12:25 utm-1 aua[31659]: id="3006" severity="info" sys="System" sub="auth" name="Trying 192.168.xx.1 (adirectory)"
    2022:08:10-16:12:25 utm-1 aua[31659]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="192.168.xx.77" host="" user="JBE" caller="portal" reason="DENIED"



    Fix design.
    [edited by: JBertsch at 2:28 PM (GMT -7) on 10 Aug 2022]
  • Im WebAdmin gibt es beim AD-Test auch den Test einer vollständigen Anmeldung.
    Dort werden dann auch Gruppenzugehörigkeiten angezeigt.

    Sonst mal kurze Kennworte ohne Sonderzeichen verwenden.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Der Test mit der vollständigen Anmeldung funktioniert.
    Es werden nur lokale Gruppen (z.B. SuperAdmins) angezeigt, keine dynamischen.
    Werden bei dir auch die dynamischen Gruppen angezeigt?

    Die Passwörter wurden nicht verändert, das hat zuvor monatelang problemlos funktioniert.

  • ja. Ich bekomme auch die dynamischen Gruppen angezeigt.

    zeig mal die Verknüpfung von SG-Gruppen mit AD-gruppen...

    Ich denke mal, der LDAP-Read-User darf nicht die Gruppenzugehörigkeit anderer User lesen.

    Dann mal TEMPORÄR / KURZZEITIG zum Domänen-Admin machen und gegentesten.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Danke, es lag tatsächlich daran, dass Authenticated Users keinen lesenden Zugriff auf die passenden Daten im AD hatten.