This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Static Group Members removed after AD Group Sync

Hi, 

I am having an issue that I have had in the past regarding group membership. This is happening on 2 separate installs - 1 of which is a brand new install due to a hardware move. Both Systems share similar configurations. 

These are my home systems so I cannot submit a ticket regarding the issue which I think might be a bug related to directory sync. 

My Setup is the following:

  • 2X Sophos UTM Software Appliances running 9.350-12.
  • Both Systems are have Public FQDNS. 
  • Both Systems are connected using Site to Site VPN (IPSEC using RSA Key). 
  • DNS is Configured as Follows - Domain Controller -> UTM -> Google DNS
  • Request Routing is Configured for the IP Addresses and Internal Domain Name
  • Both Systems are Joined to the Domain and have AD and Radius Backends Configured and are able to authenticate users. 
  • Both Systems are syncing Several Groups to the Webmin Access Settings and Web Portal and VPN Access Settings.
  • Radius is Configured for L2TP/IPSEC VPN and several other features. 
  • Both Systems are Configured to Sync over LDAPS and the Tests Sucessfully Pass and they can see all Users/Groups. 
  • I have added a Windows Backend Group to the Webmin Allowed Administrators Group.

The Issue I am having is that every single time the UTM Syncs Backend Membership with Active Directory it erases all local users in Static Groups such as Webmin Access and a Bypass Blocking and VPN Access Group I created. I have confirmed that if I add the users back to the static group they work fine until the next sync. 

Is this expected behavior? :confused[:D]oes syncing to backend memberships prohibit the use of static groups with local users such as the built-in admin account? 

Any insight into this issue would be greatly appreciated. 

Thanks, 
Kyle


This thread was automatically locked due to age.
Parents
  • Kyle, the only thing I can see in your setup that is different from what I do everywhere is the Backend Group in 'Allowed Administrators'.  What happens if you replace that with the User objects of those allowed?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hi Bob, 

    Thanks for the quick reply. I tried what you suggested and it still removed all members from my static groups as soon as I clicked Synchronize Now for the Active Directory Group Membership Synchronization. 

    I checked the User Authentication Logs and got the following information as soon as I clicked sync. See Attachment for .txt as well. 

    2015:10:01-17:44:27 utm01 update_ad_bg_members[24469]: main::__ANON__:445 severity="warn" sub="update_ad_bg_members" name="Use of uninitialized value $user_name in concatenation (.) or string at update_ad_bg_members.pl line 445,  line 656.
    2015:10:01-17:44:27 utm01 update_ad_bg_members[24469]: "
    2015:10:01-17:44:27 utm01 update_ad_bg_members[24469]: main::match_groups:159 severity="info" sub="update_ad_bg_members" name="Remove user  from group SuperAdmins"
    2015:10:01-17:44:27 utm01 update_ad_bg_members[24469]: main:172 severity="info" sub="update_ad_bg_members" name="Done"
    2015:10:01-17:46:28 utm01 update_ad_bg_members[24788]: main:58 severity="info" sub="update_ad_bg_members" name="Running update_ad_bg_members"
    2015:10:01-17:46:28 utm01 update_ad_bg_members[24788]: main::__ANON__:445 severity="warn" sub="update_ad_bg_members" name="Use of uninitialized value $user_name in concatenation (.) or string at update_ad_bg_members.pl line 445,  line 656.
    2015:10:01-17:46:28 utm01 update_ad_bg_members[24788]: "
    2015:10:01-17:46:28 utm01 update_ad_bg_members[24788]: main::match_groups:159 severity="info" sub="update_ad_bg_members" name="Remove user  from group SuperAdmins"
    2015:10:01-17:46:28 utm01 update_ad_bg_members[24788]: main::__ANON__:445 severity="warn" sub="update_ad_bg_members" name="Use of uninitialized value $user_name in concatenation (.) or string at update_ad_bg_members.pl line 445,  line 656.
    2015:10:01-17:46:28 utm01 update_ad_bg_members[24788]: "
    2015:10:01-17:46:28 utm01 update_ad_bg_members[24788]: main::match_groups:159 severity="info" sub="update_ad_bg_members" name="Remove user  from group SuperAdmins"
    2015:10:01-17:46:28 utm01 update_ad_bg_members[24788]: main:172 severity="info" sub="update_ad_bg_members" name="Done"
    2015:10:01-17:55:50 utm01 aua[3436]: id="3006" severity="info" sys="System" sub="auth" name="Child 23289 is running too long. Terminating child"

    What is interesting is this statement ""Remove user  from group SuperAdmins". In addition to removing the admin and test users I created from the Static "SuperAdmin" Group it clears out all Static Groups and members regardless of their membership in SuperAdmins.

    Any more ideas regarding the issue or additional logs I could retrieve using SSH?
Reply
  • Hi Bob, 

    Thanks for the quick reply. I tried what you suggested and it still removed all members from my static groups as soon as I clicked Synchronize Now for the Active Directory Group Membership Synchronization. 

    I checked the User Authentication Logs and got the following information as soon as I clicked sync. See Attachment for .txt as well. 

    2015:10:01-17:44:27 utm01 update_ad_bg_members[24469]: main::__ANON__:445 severity="warn" sub="update_ad_bg_members" name="Use of uninitialized value $user_name in concatenation (.) or string at update_ad_bg_members.pl line 445,  line 656.
    2015:10:01-17:44:27 utm01 update_ad_bg_members[24469]: "
    2015:10:01-17:44:27 utm01 update_ad_bg_members[24469]: main::match_groups:159 severity="info" sub="update_ad_bg_members" name="Remove user  from group SuperAdmins"
    2015:10:01-17:44:27 utm01 update_ad_bg_members[24469]: main:172 severity="info" sub="update_ad_bg_members" name="Done"
    2015:10:01-17:46:28 utm01 update_ad_bg_members[24788]: main:58 severity="info" sub="update_ad_bg_members" name="Running update_ad_bg_members"
    2015:10:01-17:46:28 utm01 update_ad_bg_members[24788]: main::__ANON__:445 severity="warn" sub="update_ad_bg_members" name="Use of uninitialized value $user_name in concatenation (.) or string at update_ad_bg_members.pl line 445,  line 656.
    2015:10:01-17:46:28 utm01 update_ad_bg_members[24788]: "
    2015:10:01-17:46:28 utm01 update_ad_bg_members[24788]: main::match_groups:159 severity="info" sub="update_ad_bg_members" name="Remove user  from group SuperAdmins"
    2015:10:01-17:46:28 utm01 update_ad_bg_members[24788]: main::__ANON__:445 severity="warn" sub="update_ad_bg_members" name="Use of uninitialized value $user_name in concatenation (.) or string at update_ad_bg_members.pl line 445,  line 656.
    2015:10:01-17:46:28 utm01 update_ad_bg_members[24788]: "
    2015:10:01-17:46:28 utm01 update_ad_bg_members[24788]: main::match_groups:159 severity="info" sub="update_ad_bg_members" name="Remove user  from group SuperAdmins"
    2015:10:01-17:46:28 utm01 update_ad_bg_members[24788]: main:172 severity="info" sub="update_ad_bg_members" name="Done"
    2015:10:01-17:55:50 utm01 aua[3436]: id="3006" severity="info" sys="System" sub="auth" name="Child 23289 is running too long. Terminating child"

    What is interesting is this statement ""Remove user  from group SuperAdmins". In addition to removing the admin and test users I created from the Static "SuperAdmin" Group it clears out all Static Groups and members regardless of their membership in SuperAdmins.

    Any more ideas regarding the issue or additional logs I could retrieve using SSH?
Children
No Data