[solved]Stuck Webadmin access

update 

it seems that according to the console output, there are not users allowed to the webadmin

***:/root # cc get webadmin allowed_users
webadmin->allowed_users = 0

****:/root # cc get_object REF_DefaultSuperAdmin
get_object returned 0


However, I am able to access and connect via the internet :S

Strange. Do you have a backup file from before it broke?

Barry

I do but i would like to troubleshoot further to help the dev team to fix this as it's clearly a bug..any commands you want me to try?

Sent from my iPhone using Astaro.org

Just tried to remove and re add a network with no luck. Can I manually add users via console using the "cc" ?

Hi wingman,

i'm sorry, i don't quite understand what the problem actually is...

Let's try to ask some questions (such that i understand better) and provide some hints (such that you understand better).

For some reason, I am not able to access the webadmin via the internal network.

What exactly are you doing (for example, enter "https://192.168.1.2:4444" into the browser address bar and hit enter?) and what exactly happens (for example, a timeout or an error message, and which one exactly)?

I can see that the access is denied on the firewall

How exactly can you see that?
(for example, by logging in via SSH and using "less" on the packetfilter log?)

(I have logged on for the webadmin access).

I don't understand that sentence at all.
What exactly did you do?

I also haVE internet object as part of the allowed networks so I am fine accessing the box from the internet.

I see, that part is clear.

Same setting were applied to user portal and I got the access back by removing the internet object and re adding it again

This is confusing.  Did you have a problem with the user portal too?
Which one, exactly?  How exactly was it resolved?  Why do you think the two are related?  Note that the node and object structure of access control to both services are very different.

However, I can't do this for the webadmin access.
What I would like to do is remove the internet object from the webadmin allowed networks and re add it again.
Is there a way to perform this via SSH?

Yes, basically anything can be done via SSH and cc.
but what you suggest would merely be a workaround.
Let's try to figure out the actual problem first, before trying random workarounds that might help or not (or just hide the problem, if any).

it seems that according to the console output, there are not users allowed to the webadmin

No, you are just looking in the wrong place.

  # cc get webadmin allowed_users
  webadmin->allowed_users = 0

Instead, try

  # cc get_object_by_name role role SUPERADMIN

  # cc get_object REF_DefaultSuperAdmin
  get_object returned 0

Hum, that's not the default configuration, indeed.
Somebody deleted or moved (as in: changed the REF string)
of the "admin" user object, it seems.

However, I am able to access and connect via the internet :S

As which user?  admin?

Try:

  # cc get_user_by_name admin

But the most important question might be:
What does

  # cc get webadmin allowed_networks

tell you?

Depending on how you answer the above questions, i would have to ask for quite different additional information.

Yours,
  Ingo

Hi Ingo

Let me try to respond to your questions. Please let me know if something is not clear

Q: What exactly are you doing (for example, enter "192.168.1.2:4444" into the browser address bar and hit enter

A: When I connect to https://:  I get a blank screen and according to the FW log the access is being denied

I get a blank screen on my chrome/firefox browser (attached) -The server at 192.168.2.100 is taking too long to respond.

2012:02:11-10:45:08 ****** ulogd[5545]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60005" initf="eth1.10" srcmac="0:1e:c9:67:44:6d" dstmac="0:1a:8c:12:3d:bc" srcip="192.168.2.5" dstip="192.168.2.100" proto="6" length="48" tos="0x00" prec="0x00" ttl="128" srcport="61552" dstport="8443" tcpflags="SYN"

When using my iphone to connect via vpn (I am still unable to connect ) but I get the standard error message saying "safari  could not open the page because the server stopped responding)

2012-02-12.log.gz:2012:02:12-15:35:35 **** ulogd[5442]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60005" initf="ppp0" srcip="10.242.5.1" dstip="192.168.2.100" proto="6" length="64" tos="0x00" prec="0x00" ttl="64" srcport="52640" dstport="8443" tcpflags="SYN"

Q: How exactly can you see that?
(for example, by logging in via SSH and using "less" on the packetfilter log?)

A: Firewall log when connecting from the internet (I am only able to connect via the internet to my ASG)

Q:I don't understand that sentence at all.What exactly did you do?

A: I am able to login to my ASG via internet and perform any troubleshooting required. 

Q:This is confusing. Did you have a problem with the user portal too?
Which one, exactly? How exactly was it resolved? Why do you think the two are related? Note that the node and object structure of access control to both services are very different.

A: I had the same problem in the sense that I wasn't able to login to user portal as well (user portal had the same allowed networks as webadmin). The issue was resolved by logging in to webadmin using the internet and navigate to the user portal configuration ,remove the internet object and re add it (on the allowed networks for user portal that is)

Q:Yes, basically anything can be done via SSH and cc.
but what you suggest would merely be a workaround.
Let's try to figure out the actual problem first, before trying random workarounds that might help or not (or just hide the problem, if any).


A: Couldn't agree more [[:)]]

Q:No, you are just looking in the wrong place.


A: no comment [[:)]]

Q:Instead, try
# cc get_object_by_name role role SUPERADMIN 


****:/root # cc get_object_by_name role role SUPERADMIN
get_object_by_name returned {
          'autoname' => 0,
          'class' => 'role',
          'data' => {
                      'comment' => 'This role grants unlimited WebAdmin access.',
                      'members' => [
                                     'REF_rEDbGHyHrY',
                                     'REF_DefaultSuperAdminGroup'
                                   ],
                      'name' => 'SUPERADMIN',
                      'rights' => [],
                      'webadmin_access' => 1
                    },
          'hidden' => 0,
          'lock' => '',
          'nodel' => 'global',
          'ref' => 'REF_SuperadminRole',
          'type' => 'role'
        }

Q:Hum, that's not the default configuration, indeed.Somebody deleted or moved (as in: changed the REF string) of the "admin" user object, it seems.

A: Admin user was deleted since not in use.  I use "wingman" account to connect to the box 

 Q:As which user? admin?

Try:

# cc get_user_by_name admin

But the most important question might be:
What does

# cc get webadmin allowed_networks

tell you?


****:/root # cc get_user_by_name admin
get_user_by_name returned 0

****:/root # cc get webadmin allowed_networks
webadmin->allowed_networks = [
          "REF_DefaultInternalNetwork",  

Hi Ingo

I haven't had a chance to fix this yet. Any suggestions?

I am also getting a "time out error " when connecting to my ASG via internal network as well

the connection is 192.168.2.5 to 192.168.2.100 on ssh port . The connection should be allowed (internal network is allowed for SSh access)

Update

It seems that for some reason my firewall is also blocking the SSH connection
even though the internal network is part of the SSH allowed networks

I've just restored a backup and I am able to access the webadmin via internal network. Once I've added internet as an object I am not able to access it via internal network (connection is being blocked via the firewall)

****:/root # cc get webadmin allowed_networks
webadmin->allowed_networks = [
"REF_DefaultInternalNetwork"
"REF_NetworkInternet",
"REF_DefaultCiscoRWPool"

 I've then restored the same backup and I am again able to login to the webadmin. The only difference is that the "internet group" is not part of the allowed networks

****:/root # cc get webadmin allowed_networks
webadmin->allowed_networks = [
          "REF_DefaultInternalNetwork",
          "REF_NetIntBackuNetwo",
          "REF_NoeiaSuXNS"
        ]

Also tried to remove all the other networks and have only the internet one (0.0.0.0/0) and the internal one and still doesn;t work

Not sure what the problem is but once I configure the internet object to be allowed, I am not able to connect to webadmin via my internal network