[7.086] eDirectory does not seemlessly authenticate users.

Edirectory authentication is still presenting a challenge prompt to users.

In looking at the log every user that has authenticated successfully has logged through the challenge prompt:

2007:11:23-09:49:39 (none) aua[25683]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="0.0.0.0" user="kyoun" caller="http" reason="DENIED" 
2007:11:23-09:49:45 (none) aua[25684]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="0.0.0.0" user="kyoun" caller="http" reason="DENIED" 
2007:11:23-09:50:10 (none) aua[25711]: id="3004" severity="info" sys="System" sub="auth" name="Authentication successful" srcip="192.168.4.182" user="vplat" caller="http" engine="edirectory-sso" 
2007:11:23-09:57:34 (none) aua[26039]: id="3004" severity="info" sys="System" sub="auth" name="Authentication successful" srcip="192.168.4.42" user="admin" caller="webadmin" engine="local" 
2007:11:23-10:06:05 (none) aua[26732]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="192.168.4.33" user="192.168.4.33" caller="http" reason="DENIED" 
2007:11:23-10:06:42 (none) aua[26774]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="192.168.4.33" user="192.168.4.33" caller="http" reason="DENIED" 
2007:11:23-10:06:45 (none) aua[26776]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="192.168.4.33" user="192.168.4.33" caller="http" reason="DENIED" 
2007:11:23-10:06:45 (none) aua[26777]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="192.168.4.33" user="192.168.4.33" caller="http" reason="DENIED" 
2007:11:23-10:06:45 (none) aua[26778]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="192.168.4.33" user="192.168.4.33" caller="http" reason="DENIED" 
2007:11:23-10:06:48 (none) aua[26792]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="192.168.4.33" user="192.168.4.33" caller="http" reason="DENIED" 
2007:11:23-10:09:24 (none) aua[26889]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="192.168.4.100" user="192.168.4.100" caller="http" reason="DENIED" 
2007:11:23-10:09:34 (none) aua[26890]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="192.168.4.33" user="192.168.4.33" caller="http" reason="DENIED" 
2007:11:23-10:09:34 (none) aua[26891]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="192.168.4.33" user="192.168.4.33" caller="http" reason="DENIED" 
2007:11:23-10:09:35 (none) aua[26892]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="192.168.4.33" user="192.168.4.33" caller="http" reason="DENIED" 
2007:11:23-10:09:47 (none) aua[26896]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="192.168.4.33" user="192.168.4.33" caller="http" reason="DENIED" 
2007:11:23-10:09:48 (none) aua[26894]: id="3004" severity="info" sys="System" sub="auth" name="Authentication successful" srcip="0.0.0.0" user="kyoun" caller="http" engine="edirectory" 
2007:11:23-10:10:01 (none) aua[27016]: id="3004" severity="info" sys="System" sub="auth" name="Authentication successful" srcip="0.0.0.0" user="madespee" caller="http" engine="edirectory" 
2007:11:23-10:11:28 (none) aua[27051]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="192.168.4.33" user="192.168.4.33" caller="http" reason="DENIED" 
2007:11:23-10:12:36 (none) aua_edir_sync[25491]: id="3006" severity="info" sys="System" sub="auth" name="eDirectory configuration: server:192.168.4.2 port:636 ssl:1 bind_dn:CN=admin,O=VES sync_interval:20" 
2007:11:23-10:12:53 (none) aua_edir_sync[25491]: id="3006" severity="info" sys="System" sub="auth" name="eDirectory configuration: server:192.168.4.2 port:636 ssl:1 bind_dn:CN=admin,O=VES sync_interval:20" 
2007:11:23-10:15:35 (none) aua[27199]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="192.168.4.244" user="192.168.4.244" caller="http" reason="DENIED" 
2007:11:23-10:15:40 (none) aua[27200]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="192.168.4.244" user="192.168.4.244" caller="http" reason="DENIED" 
2007:11:23-10:19:27 (none) aua[27418]: id="3004" severity="info" sys="System" sub="auth" name="Authentication successful" srcip="0.0.0.0" user="kyoun" caller="http" engine="edirectory" 
2007:11:23-10:19:28 (none) aua[27417]: id="3004" severity="info" sys="System" sub="auth" name="Authentication successful" srcip="0.0.0.0" user="kyoun" caller="http" engine="edirectory" 
2007:11:23-10:27:30 (none) aua[27668]: id="3004" severity="info" sys="System" sub="auth" name="Authentication successful" srcip="0.0.0.0" user="kyoun" caller="http" engine="edirectory" 
2007:11:23-10:27:30 (none) aua[27667]: id="3004" severity="info" sys="System" sub="auth" name="Authentication successful" srcip="0.0.0.0" user="kyoun" caller="http" engine="edirectory" 
2007:11:23-10:28:31 (none) aua[27682]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="192.168.4.33" user="192.168.4.33" caller="http" reason="DENIED" 
2007:11:23-10:28:37 (none) aua[27683]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="192.168.4.33" user="192.168.4.33" caller="http" reason="DENIED" 
2007:11:23-10:28:45 (none) aua[27684]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="192.168.4.33" user="192.168.4.33" caller="http" reason="DENIED" 
2007:11:23-10:33:16 (none) aua[27777]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="192.168.4.33" user="192.168.4.33" caller="http" reason="DENIED" 
2007:11:23-10:34:00 (none) aua[27789]: id="3004" severity="info" sys="System" sub="auth" name="Authentication successful" srcip="0.0.0.0" user="kyoun" caller="http" engine="edirectory" 
2007:11:23-10:34:00 (none) aua[27788]: id="3004" severity="info" sys="System" sub="auth" name="Authentication successful" srcip="0.0.0.0" user="kyoun" caller="http" engine="edirectory" 


confd-debug.log attached if needed

Thanks

Chris
confd-debug.zip
  • Could you provide me a shell login?
    Please send IP/password to dstutz( at )astaro.com

    Thank you.

    Kind Regards,
    Daniel
  • Update:
    After restarting profiles, edir auth + reboot I was able to get my test machine to authenticated. (It stayed authenticated and still is, but thats another thread).

    I expanded my testing to the computer lab and recieved challenge prompts at every attempt to start a browser.

    Tested again and:
    Reboot ASG, then enable edirectory auth, then delete internal network from global proxy then enable proxy profile on internal network = challenge prompt

    but... 

    enable edirectory auth, then delete internal network from global proxy then enable proxy profile on internal network, then reboot ASG = seemless authentication of first edirectory user to attempt authentication. All subsequent attempts on other client stations with different user credentials meet a challenge prompt. Weird
  • Tested again on 7.090 and edirectory authentication seems to be working as expected. You can't imagine how happy I am to finally have a successful test of edirectory authentication again! Woohoo!

    today I am working on a different network and an ASG220 so tomorrow I will test 7.090 on original network with the ASG120 i was working on last week when i started this thread.

    thanks,

    Chris
  • Hi FWIW ... we are BETA testing a ASG320 HA Active pair on eDir ... current Version 7.090... more info as we discover it ... so far so good ! just sorting out HTTP profiles :-}

    Netware 6.5 SP6 TEST Server running in VMWARE Single Server
    WIndows Server 2003 SP2 Test Server REAL; Ad Native mode SMB signing OFF
    ASG320 HA Active/Active V7.090
    Browser access Firefox 2.0.0.10

    .... also we check LDAP with a freeware UTIL from SOFTERRA LDAP browser "google it" (no affiliation) just ensures we can read the "tree" ....
  • Thanks for the note Rufus.

    Using edir auth with profiles was my big issue since I haven't had it work since somewhere around 7.004 or 005. Very happy to have had an extended successful test yesterday.

    I use a similar LDAP search tool that I found cool solutions:

    http://www.novell.com/coolsolutions/tools/17350.html

    Chris
  • I know the software is the same, but my ASG120's will not correctly authenticate with eDirectory. I am seeing the exact same issues. ASG220 tested fine.

    I authenticated user "madespee" on my test machine at 192.168.4.33 and that machine stays authenticated as "madespee" no matter who is logged in. I checked my connections in the netware monitor and there is no current connection listed for this user, yet the ASG120 continues to authenticate. I am not sure how this is possible if there is nothing in the connections table of netware?

    2007:11:28-11:44:29 (none) aua[7516]: id="3004" severity="info" sys="System" sub="auth" name="Authentication successful" srcip="192.168.4.33" user="madespee" caller="http" engine="edirectory-sso" 


    I guess next test will be to move an ASG 220 to this network?

    Chris
  • At last a solution...

    Some clients on the network were installed with the ability to use both IPX and IP. If a client connected via IPX (who knows how it determines which protocol to use) then there was no IP address in the connections table and hence the challenge prompts (not possible to make the ip=username connection required by Astaro).

    Seems overly simple now that I have figured it out.

    Chris
  • Chris,

    for Clients with IPX and IP Protocol, you can change the protocol order.
    (I know this problem from customers with Windows- and old 4.11 Servers)

    Gregor Kemter
  • Okay... this is still a problem...

    Clients all authenticate IP only. Some still get challenge prompts and can successfully log through the prompt and authenticate to eDirectory.

    Once authenticated to eDirectory they NEVER get updated. I can reboot the PC, log into "Workstation Only" (no Novell connection at all) and still browse authenticated as the original authenticated user.

    The logs clearly show there is no sync interval as the only sync events are triggered by me re-applying the settings.

    2007:11:30-11:16:40 (none) aua_edir_sync[5280]: id="3006" severity="info" sys="System" sub="auth" name="eDirectory configuration: server:192.168.4.2 port:636 ssl:1 bind_dn:CN=astaro,O=VES sync_interval:20" 

    Even after this sync event I see users that are not authenticated to Novell get authenticated by the gateway.... it seems the gateway is using a stored connection table and definitely not checking with my Novell server.

    Chris