This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Active directory SSO

We are in the process of implementing an Astaro Web proxy for one of our clients and have managed to get AD SSO authentication working to some extent however I'm facing the following issue:

Whenever the backend (AD) group membership changes the Astaro does not know about it untill the Astaro is rebooted. It seems to only talk to AD during bootup and not on every access request. This is clearly not acceptable as the web proxy can not be rebooted every time a new user is given access or if we want to restrict access for a particular user.

Has anyone encountered this problem?


This thread was automatically locked due to age.
Parents
  • I've noticed that if we have multiple AD groups and change a user between groups, we don't the access change until Astaro reboots.  I'd be interested to see Astaro's statement as to how these things are managed.
  • Hi,

    I've noticed that if we have multiple AD groups and change a user between groups, we don't the access change until Astaro reboots.  I'd be interested to see Astaro's statement as to how these things are managed.


    that's a known issue here - The samba guys have disabled cache expiry in winbindd for unknown reasons, at least i was unable to find a statement why this has been done in their SCM.

    We have a fix for that issue, which works well on several customer, it is scheduled for ASG V7.301 (which may change). If you have a Support Subscription and are in urgent need of a fix please contact Astaro Support.

    Cheers,

    Sven.


  • We have a fix for that issue, which works well on several customer, it is scheduled for ASG V7.301 (which may change). If you have a Support Subscription and are in urgent need of a fix please contact Astaro Support.

    Cheers,

    Sven.


    I appreciate the quick response, however how can I in good conscious recommend this product to our client when it fails to do the most basic task of authenticating the user properly. We can not wait for a patch that "may" fix the issue. I will be sending back our trial unit to Astaro.
  • I appreciate the quick response, however how can I in good conscious recommend this product to our client when it fails to do the most basic task of authenticating the user properly. We can not wait for a patch that "may" fix the issue. I will be sending back our trial unit to Astaro.


    You didn't get the point of my post - the Fix is already available, and it *does* fix that issue. However, QA time is limited, so it didn't made it into 7.300, and will therefore be released after 7.300.

    Cheers,

    Sven.
  • Since upgrading to V7.300 at a number of sites we continue to see AD SSO problems.  There are a number of problems we have found:
    When we define a group under Users | Groups, previously we had to type the name of the AD group.  In 7.3 we can select from a AD lookup browser, however whenever we use this, SSO does not work.  If we type the name in (not the FQDN) by using the + icon, it continues to work if this is what we had before, but fails if it is a new entry.  I think something in this AD association is flawed.  We tried creating a group in a root OU to reduce the length of the FQDN for the group selected but this did not help.

    When in Web Profiles, whilst we can successfully use the profile that a user exists in, the filter which should be applied never works.  We always end up being assigned the default profile.  If we use the same user without SSO, ie standard, they get the correct filter assignment.

    Whilst we are having lots of problems with enterprise management of the new 7 Web Security (its far more difficult and time consuming than v6 because of individual entries being needed for each and every item, rather than pasting a block), the additional problems with SSO create huge frustrations for users.

    As a minor point to add, why didn't they take the opportunity to move the Overview Tab to the last tab??  It delays my access to what the work tabs, every time I go there.
  • Hi,

    same Problem here.... any comments from Astaro ?

    >When in Web Profiles, whilst we can successfully use the profile that a user exists in, the >filter which should be applied never works.  We always end up being assigned the default >profile.  If we use the same user without SSO, ie standard, they get the correct filter >assignment.
    Ah, we have V7.301 :-)


    Thanks 
    Greetings
    Thomas
  • Hi,

    same problem, no idea !
    No Filter Assignments with AD SSO Group or User works, with standard authenitcation everything is fine. We are waiting for an answer from our Astaro Partner.

    Sorry
    Greetings
    Daniel
  • I've also updated in to 7.302 in the hope that it will resolve AD issues but the problems continue. 

    Utilising the newly added test buttons (v7.3) in the AD setup all the authentication tests pass. I can add in AD groups via the AD browser and prefetch data. Works good.

    However,
    Non of the filters work, the AD groups are simply ignored and the default filter action is used all the time.
    I ran a packet capture using network monitor on the AD server that the Astaro binds to and found that the Astaro never queries AD when starting a browser session or when logging on to a PC. The only time I seen any LDAP queries were during the user authentication on the AD setup page. The authentication logs on the astaro are also only updated when the account test funciton is used.
    Clearly there is a bug here.

    Oh well 24 days left on the ASG web appliance trial, hopefully Astaro can come up with a fix. I think there is definetly some improvment here with the added test functions and the ability to browse AD but I just want the damn thing to work. It is making me look bad in my managers eyes as I've wasted so much time trying to debug this thing.
Reply
  • I've also updated in to 7.302 in the hope that it will resolve AD issues but the problems continue. 

    Utilising the newly added test buttons (v7.3) in the AD setup all the authentication tests pass. I can add in AD groups via the AD browser and prefetch data. Works good.

    However,
    Non of the filters work, the AD groups are simply ignored and the default filter action is used all the time.
    I ran a packet capture using network monitor on the AD server that the Astaro binds to and found that the Astaro never queries AD when starting a browser session or when logging on to a PC. The only time I seen any LDAP queries were during the user authentication on the AD setup page. The authentication logs on the astaro are also only updated when the account test funciton is used.
    Clearly there is a bug here.

    Oh well 24 days left on the ASG web appliance trial, hopefully Astaro can come up with a fix. I think there is definetly some improvment here with the added test functions and the ability to browse AD but I just want the damn thing to work. It is making me look bad in my managers eyes as I've wasted so much time trying to debug this thing.
Children
  • BangkokBob and Rommel74, Did you try the fix Sven mentioned above?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • No, I thought I would wait until 7.301, however from the readme it is not fixed.
  • Hmm, strange when I check the release notes at http://up2date.astaro.com looks like this was updated:

    Fix [8184]: Cache for HTTP Proxy AD SSO not updating sometimes
  • Our Astaro is running 7.301 and the problem exists.
  • Hi Guys,

    i found a solution:
    There are two important things to do / to remember.
    First: for me only one ProxyProfile is working, i dont know why but only one ProxyProfile works.
    Second: in the Users --> Groups Tab you must not use the AD-Browser for assigning AD-SSO Backendmembership.

    So, first enable AD-SSO in the Users --> Authentication Tab
    Then go to Users --> Groups, Click "New group", name the Group corresponding to your AD-Group, in the "Active Directory Groups"-Field hit the Plus-Sign and simply enter the Name of your AD-Group (not! the LDAP-Path like CN=,OU= etc.). This is important, the result of the AD-Browser is'nt working here.
    Do this twice (for different groups) if you want two rightslevels like in my example.

    Then go to Web-Security --> HTTP-Profiles, go to Filter Actions
    if you want, like in my case, a NormalUser Group with minor rights and a SuperUser Group with more rights do the following.
    Create an ActionFilter for example "NormalUserAction"
    Mode: Blacklist
    Blocked SP Categories: 
    Spyware, Anti-Virus etc: 

    then create a second ActionFilter "SuperUserAction"
    Mode: Blacklist
    Blocked SP Categories etc: 

    create a third ActionFilter "DenyAllAction"
    Mode: Whitelist
    Allowed things ... etc: allow nothing!

    Go to Http_Profiles --> Filter Assignments

    Create an Assignment "NormalUserFilter"
    Add your AD-Groups via the Plus-Sign
    Choose your TimeEvent
    Select the NormalUserAction FilterAction in "Filter Action"
    Save

    Do the same with the SuperUserFilter and SuperUserAction

    Then go to HTTP-Profiles --> Proxy Profiles

    Create a Profile for example "Profile01"

    Choose your Source-Networks
    Select the "NormalUserFilter" AND the "SuperUserFilter" in the Filter Assignments Window.
    Fallback action: DenyAllAction
    Operation Mode: Active Directory SSO.
    Hit Save.

    This is a working AD-SSO Configuration with 2 Filters for Normal- and Superusers. If a User isnt in any of the defined AD-Groups he has no Internetaccess via the Proxy.
    This is a working configuration for me.

    Hope this helps.
    Greetings 
    Thomas
  • Thank you, Thomas.  That's the type of documentation that is missing with the Astaro - how to accomplish something.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Thank You Thomas

    This is working for me as well.

    Adrian
  • This worked for me as well, thank you!. There is still one strange issue however:

    - Web reporting does not show all users, although the log file does


    Any suggestions?
  • Any news with this issue?

    I have one machine with AD-SSO for proxy authentication and users are only recognized after reboot

    Version is 7.401

    I've tried with only the group name instead of the whole group DN from the AD browser in pre-7.4 because of the known Samba bug. I've tested both schemes in 7.4+!

    So what is the problem?

    I cannot test with webadmin or at the console in which groups users are. I am not able to convert these numbering stuff from wbinfo into group names.