Active directory SSO

I've noticed that if we have multiple AD groups and change a user between groups, we don't the access change until Astaro reboots.  I'd be interested to see Astaro's statement as to how these things are managed.

Hi,

I've noticed that if we have multiple AD groups and change a user between groups, we don't the access change until Astaro reboots.  I'd be interested to see Astaro's statement as to how these things are managed.

that's a known issue here - The samba guys have disabled cache expiry in winbindd for unknown reasons, at least i was unable to find a statement why this has been done in their SCM.

We have a fix for that issue, which works well on several customer, it is scheduled for ASG V7.301 (which may change). If you have a Support Subscription and are in urgent need of a fix please contact Astaro Support.

Cheers,

Sven.

Hi,

I've noticed that if we have multiple AD groups and change a user between groups, we don't the access change until Astaro reboots.  I'd be interested to see Astaro's statement as to how these things are managed.

that's a known issue here - The samba guys have disabled cache expiry in winbindd for unknown reasons, at least i was unable to find a statement why this has been done in their SCM.

We have a fix for that issue, which works well on several customer, it is scheduled for ASG V7.301 (which may change). If you have a Support Subscription and are in urgent need of a fix please contact Astaro Support.

Cheers,

Sven.

We have a fix for that issue, which works well on several customer, it is scheduled for ASG V7.301 (which may change). If you have a Support Subscription and are in urgent need of a fix please contact Astaro Support.

Cheers,

Sven.

I appreciate the quick response, however how can I in good conscious recommend this product to our client when it fails to do the most basic task of authenticating the user properly. We can not wait for a patch that "may" fix the issue. I will be sending back our trial unit to Astaro.

I appreciate the quick response, however how can I in good conscious recommend this product to our client when it fails to do the most basic task of authenticating the user properly. We can not wait for a patch that "may" fix the issue. I will be sending back our trial unit to Astaro.

You didn't get the point of my post - the Fix is already available, and it *does* fix that issue. However, QA time is limited, so it didn't made it into 7.300, and will therefore be released after 7.300.

Cheers,

Sven.

Since upgrading to V7.300 at a number of sites we continue to see AD SSO problems.  There are a number of problems we have found:
When we define a group under Users | Groups, previously we had to type the name of the AD group.  In 7.3 we can select from a AD lookup browser, however whenever we use this, SSO does not work.  If we type the name in (not the FQDN) by using the + icon, it continues to work if this is what we had before, but fails if it is a new entry.  I think something in this AD association is flawed.  We tried creating a group in a root OU to reduce the length of the FQDN for the group selected but this did not help.

When in Web Profiles, whilst we can successfully use the profile that a user exists in, the filter which should be applied never works.  We always end up being assigned the default profile.  If we use the same user without SSO, ie standard, they get the correct filter assignment.

Whilst we are having lots of problems with enterprise management of the new 7 Web Security (its far more difficult and time consuming than v6 because of individual entries being needed for each and every item, rather than pasting a block), the additional problems with SSO create huge frustrations for users.

As a minor point to add, why didn't they take the opportunity to move the Overview Tab to the last tab??  It delays my access to what the work tabs, every time I go there.

Hi,

same Problem here.... any comments from Astaro ?

>When in Web Profiles, whilst we can successfully use the profile that a user exists in, the >filter which should be applied never works.  We always end up being assigned the default >profile.  If we use the same user without SSO, ie standard, they get the correct filter >assignment.
Ah, we have V7.301 :-)


Thanks 
Greetings
Thomas

Hi,

same problem, no idea !
No Filter Assignments with AD SSO Group or User works, with standard authenitcation everything is fine. We are waiting for an answer from our Astaro Partner.

Sorry
Greetings
Daniel

I've also updated in to 7.302 in the hope that it will resolve AD issues but the problems continue. 

Utilising the newly added test buttons (v7.3) in the AD setup all the authentication tests pass. I can add in AD groups via the AD browser and prefetch data. Works good.

However,
Non of the filters work, the AD groups are simply ignored and the default filter action is used all the time.
I ran a packet capture using network monitor on the AD server that the Astaro binds to and found that the Astaro never queries AD when starting a browser session or when logging on to a PC. The only time I seen any LDAP queries were during the user authentication on the AD setup page. The authentication logs on the astaro are also only updated when the account test funciton is used.
Clearly there is a bug here.

Oh well 24 days left on the ASG web appliance trial, hopefully Astaro can come up with a fix. I think there is definetly some improvment here with the added test functions and the ability to browse AD but I just want the damn thing to work. It is making me look bad in my managers eyes as I've wasted so much time trying to debug this thing.

BangkokBob and Rommel74, Did you try the fix Sven mentioned above?

Cheers - Bob

No, I thought I would wait until 7.301, however from the readme it is not fixed.

Hmm, strange when I check the release notes at http://up2date.astaro.com looks like this was updated:

Fix [8184]: Cache for HTTP Proxy AD SSO not updating sometimes

Our Astaro is running 7.301 and the problem exists.