Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 8539 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SMTP Proxy, AD Recipient Verification, LDAPS, failing

HiRN
Hi everyone!

I have a problem which I am not able to solve by myself. Maybe someone can help.

First of all, UTM Version is 9.005-16, with HTTP Proxy working with AD Authentication. The Domain Controllers are configured to require LDAP signing, the authentication servers UTM are configured to use LDAP over SSL (636). The HTTP Proxy Signing CA and the WebAdmin CA certificates are distributed over GPO on the Domain Controllers (Computer Certificates). HTTP Proxy works fine with these settings.

Now I configured the SMTP Proxy, using recipient verification through AD. But this doesn't work. In SMTP Proxy following message is logged when checking for the recipient:

Warning: ACL "warn" statement skipped: condition test deferred: failed to bind the LDAP connection to server w.x.y.z:636 - ldap_bind() returned -1 .

Corresponding i get on the Domain Controller w.x.y.z logged a Secure Channel Event 36887 (error number 48, TLS1_ALERT_UNKNOWN_CA).

Thinks working fine with SMTP Proxy when I configure authentication servers to use plain LDAP on 389 and the DCs accepting non signed LDAP queries.

So, does anyone else have the problem or better, anyone knows how to configure it right? I think my DCs miss a certificate signed by a CA used by the SMTP Proxy, but which?

Or maybe its a bug?


This thread was automatically locked due to age.
Parents
  • 0
    Hi, HiRN, and welcome to the User BB!

    The fact that AD-SSO worked for Web Filtering didn't necessarily mean your 'Authentication Server' definition for AD was working.  In Web Filtering, authentication doesn't use that definition.  The 'Authentication Server' is used only to check group membership after SSO authentication has taken place.

    If you were using 'Backend Groups' in 'Filter Assignments' and the correct Filters were being selected, then that was proof that your 'Authentication Server' definition was working.  If it was working correctly, then I would say that this is either a bug or a basis for a feature request as, apparently, the SMTP Proxy uses plain 389 instead of the selections made in the definition.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Thank you for your welcome and your reply.

    Mh, as far as i see the HTTP-Proxy uses the definitions in Authentication Servers, because with acitivated LDAP Server Signing requirement in AD, the LDAP queries cannot be made, if the definition is configured to use 389 (without SSL). When i set them to use SSL (636), the queries work.

    So the status quo is with my configuration, authentication servers use LDAP over SSL on port 636, the LDAP queries work with HTTP-Proxy.

    And the SMTP-Proxy uses the settings from authentication servers. Logging shows, with enabled SSL over LDAP on 636, a connection try to the correct DC on port 636. If I change the settings in authentication servers to plain LDAP on 389 the SMTP-Proxy logs the connection try to DC IP on port 389, and it works.

    So there is a certificate issue, because the DC recognizes the connection trial, while the UTM is configured to use LDAP over SSL on 636, and drops the SChannel Event 36887 (error 48), which states a CA certificate is missing.

    I will pass this to Astaro Support, not the first bug in 9.x I found.

    Administrating:

    • 2x UTM Software HA-Clusters (Active-Passive), Enthusiast Home Lab
    • 1x UTM525 HA-Cluster (Active-Passive), Full Guard, 6x AP15, 2x AP30, 40x RED10, 1x RED50
    • 1x SG230, Full Guard, 6x AP10, 1x AP15
    • 1x UTM220, Full Guard, 16x AP10
    • 1x UTM220, Full Guard
Reply
  • 0 in reply to BAlfson
    Thank you for your welcome and your reply.

    Mh, as far as i see the HTTP-Proxy uses the definitions in Authentication Servers, because with acitivated LDAP Server Signing requirement in AD, the LDAP queries cannot be made, if the definition is configured to use 389 (without SSL). When i set them to use SSL (636), the queries work.

    So the status quo is with my configuration, authentication servers use LDAP over SSL on port 636, the LDAP queries work with HTTP-Proxy.

    And the SMTP-Proxy uses the settings from authentication servers. Logging shows, with enabled SSL over LDAP on 636, a connection try to the correct DC on port 636. If I change the settings in authentication servers to plain LDAP on 389 the SMTP-Proxy logs the connection try to DC IP on port 389, and it works.

    So there is a certificate issue, because the DC recognizes the connection trial, while the UTM is configured to use LDAP over SSL on 636, and drops the SChannel Event 36887 (error 48), which states a CA certificate is missing.

    I will pass this to Astaro Support, not the first bug in 9.x I found.

    Administrating:

    • 2x UTM Software HA-Clusters (Active-Passive), Enthusiast Home Lab
    • 1x UTM525 HA-Cluster (Active-Passive), Full Guard, 6x AP15, 2x AP30, 40x RED10, 1x RED50
    • 1x SG230, Full Guard, 6x AP10, 1x AP15
    • 1x UTM220, Full Guard, 16x AP10
    • 1x UTM220, Full Guard
Children
No Data
Unfiltered HTML