This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Portal Login Fails for Allowed Users

[FONT=Times New Roman][SIZE=3]Hello All,[/SIZE][/FONT]
 
[FONT=Times New Roman][SIZE=3]I'm trying to setup the User Portal using the "Allow only specific users" option but I get the error "Invalid username/password, oraccess denied by policy" when I try to login.[/SIZE][/FONT]
 
[FONT=Times New Roman][SIZE=3]I had originally set it up to use a Group call Portal Users and added myaccount to that group. I also tried just putting my user account directly intothe Allowed user’s box but that did not work either.[/SIZE][/FONT]
 
[FONT=Times New Roman][SIZE=3]If I use the "Allow all users" option instead...I can login and all is well. This seems to be fairly striaght forward but I most be missing something.[/SIZE][/FONT]
 
[FONT=Times New Roman][SIZE=3]I running the latest ASG 8.201 version..if additional info is needed please let me know.[/SIZE][/FONT]
 
[FONT=Times New Roman][SIZE=3]Could anyone point me in the right direction?[/SIZE][/FONT]
 
[FONT=Times New Roman][SIZE=3]Thanks![/SIZE][/FONT]


This thread was automatically locked due to age.
  • Hi, dcooper, and welcome to the User BB!

    Please [Go Advanced] below so you can attach a picture of your 'User Portal' 'Global' tab.  Also, show the relevant lines from the 'User authentication daemon' log.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Below are the entries I get from the live log when I try to login.  I notice that I always get the failure notice for User1 when I open the Live log even though I'm not using that account.  
     
    When I try to login to the portal I'm using the PortalUser1 account.  I tried 3 times with the first giving me a DENIED message and the next 2 giving me "Too many Failures from client IP" message.
     
    Thank you for looking at this!
     
    2011:08:21-12:51:36 Astaro aua[16077]: id="3006" severity="info" sys="System" sub="auth" name="Trying 192.168.1.252 (adirectory)"
     
    2011:08:21-12:51:37 Astaro aua[16077]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="192.168.1.148" user="User1" caller="portal" reason="DENIED"
     
    2011:08:21-12:51:38 Astaro aua[4903]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="192.168.1.148" user="User1" caller="portal" reason="Too many failures from client IP, still blocked for 599 seconds"
     
    2011:08:21-12:53:25 Astaro aua[4903]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="192.168.1.148" user="User1" caller="portal" reason="Too many failures from client IP, still blocked for 492 seconds"
     
    2011:08:21-12:53:27 Astaro aua[4903]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="192.168.1.148" user="User1" caller="portal" reason="Too many failures from client IP, still blocked for 490 seconds"
     
    2011:08:21-12:58:06 Astaro aua[16429]: id="3006" severity="info" sys="System" sub="auth" name="Trying 192.168.1.252 (adirectory)"
     
    2011:08:21-12:58:07 Astaro aua[16429]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="69.99.200.188" user="User1" caller="portal" reason="DENIED"
     
    2011:08:21-12:59:04 Astaro aua[16461]: id="3006" severity="info" sys="System" sub="auth" name="Trying 192.168.1.252 (adirectory)"
     
    2011:08:21-12:59:04 Astaro aua[16461]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="69.99.200.188" user="PortalUser1" caller="portal" reason="DENIED"
     
    2011:08:21-12:59:51 Astaro aua[16483]: id="3006" severity="info" sys="System" sub="auth" name="Trying 192.168.1.252 (adirectory)"
     
    2011:08:21-12:59:52 Astaro aua[16483]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="69.99.200.188" user="PortalUser1" caller="portal" reason="DENIED" 
    2011:08:21-13:07:04 Astaro aua[4903]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="69.99.200.188" user="PortalUser1" caller="portal" reason="Too many failures from client IP, still blocked for 168 seconds"
     
    2011:08:21-13:07:23 Astaro aua[4903]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="69.99.200.188" user="PortalUser1" caller="portal" reason="Too many failures from client IP, still blocked for 149 seconds"
  • You are being denied either because the user is not a member of the Backend group, or you have the wrong password. Please show a pic of the Astaro "Portal Users" group. 

    Cheers - Bob

    Sorry for any short responses!  Posted from my iPhone.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • [FONT=Times New Roman][SIZE=3]No problem on the sort response...I appreciate the help!![/SIZE][/FONT]
     
    [FONT=Times New Roman][SIZE=3]Here are screenshots of the Portal Group and PortalUser1 account. The useris in the backend group and I'm sure the password is correct...If I select the"Allow all users" option on the User Portal/Global tab, my PortalUser1 account has no problemlogging into the Portal.[/SIZE][/FONT]
     
     
    [FONT=Times New Roman][SIZE=3]Thanks again![/SIZE][/FONT]
    [FONT=Times New Roman][SIZE=3]--Dan[/SIZE][/FONT]
  • Dan, The log you posted above clearly is trying to authenticate against adirectory, but the "Portal Users" group is "Local" as is "PortalUser1."  This looks like a bug to me, so, if you are a user with a paid license, please submit (or have your reseller submit) a support request to Astaro.

    If you're in a hurry to make this work before the release of 8.202/3, I suggest going back to 8.103.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Thanks for checking ...I thought that I just might have not been doing something correctly.  At this point, I only have a home license so I'll have to wait until the next version is released...but I can just use the Allow all users option until the issue is fixed.

    Now if I can get the VPN to fully function I'll be all set for my trip to China.

    Thanks for all your time...I do appreciate it.
    --Dan
  • There shouldn't be any problems with the VPNs.  Post a question in the VPN forum.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Today I had the same problem and the problem seems to be coming fro the fact the user got a message from the AD that his password would expire soon.

    After the password on the AD was changed, the user could login again in the portal.

    Not 100% sure the ' Your password will expire soon' was the cause, but perhaps this reply helps others with the same problem.

    Hardware: ASG120 7.511
  • It looks like the Sophos UTM does NOT have a way to handle the following:

    Password Expiration and required to be changed upon next logon.

    Password set to "User must change password at next logon"

    See the feature request: 
    Authentication: Change backend AD password in UserPortal

    I've confirmed in my Sophos UTM 9.206-35 environment if the AD User password expires or if we are forcing them to reset their password upon next logon they are out of luck and receive the "Invalid username/password, or access denied by policy." message on the User Portal.
  • We also had problems with german Umlauts in password