[v7.086] Can't authenticate with ActiveDirectory

I can't authenticate with ActiveDirectory.

In v7.011, I can authenticate of End User Portal with ActiveDirectory.

ActiveDirectory Server : Windows Server 2003 Standard Edition (Jpn) with ServicePack 1

There is following message in aua.log.
aua[6302]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="0.0.0.0" user="test1" caller="portal" reason="DENIED"

Is this issue a bug?
Parents Reply Children
  • Hi,

    we cannot reproduce this issue here. Automatic user creation works for Active Directory and End-user Portal, as well as any other facility eligible for AD authentication.

    Please ensure that you have limited the backend membership in the AD group you have created and assigned for portal access. There is a checkbox in the group's definition (Users >> Group) when you edit it:

    "Limit to backend group(s) membership"

    Please ensure that the respective AD group defined on your AD server is specified here. You do not need to create your "test1" user manually.

    Cheers
  • Hi there, 

    did you rejoin to the Active Directory after the beta update?

    thx
    Gert
  • Hello!

    we've got the same problem, too.
    One ASG 7.011 uses Windows 2000 Server and the other ASG 7.011 system uses Windows 2003 SBS-Server.
    With 2003 SBS ASG-System we can log in with new users to the End-User-Portal. After the first log in, the user is created automaticly by astaro.
    With the 2000 ASG-System it doesn't work. I get this error message:
    >> 2007:11:28-21:33:27 (none) aua[14874]: id="3005" severity="warn" sys="System"
    >> sub="auth" name="Authentication failed" srcip="0.0.0.0" user="Administrator"
    >> caller="portal" reason="DENIED"

    But the SSO authentication with the web-proxy works 100%!

    The settings for the End-User-Portal are:
    Allowed networks: any
    Allow all users

    I've changed the settings to our web-user-group but it doesn't works, too.

    Best regards
    Markus
  • Hi all,

    were you able to (re-)join the domain with your ASG and the Active Directory Server(s) causing the failed authentications?

    Regards
  • I made "test2" user in ActiveDirectory.
    And I made "ADUSERS" group in ASG. ( Grouptype:Backend membership, Backend: ActiveDirectory)
    Then I was able to log in to end user portal in a "test2" user.

    Is this movement specification?
    I think so that there is an issue a little if it is specification.
    For example, it is the time that I want to limit the user who can use SSL-VPN.

    Best Regards,
  • I have my ASL box joined to the domain ( Domain had to be in all CAPS)

    This may just be the way things are supposed to be, but I have discovered that when you are setting up the AD groups to use for authentication, the group name is case sensitive.  As in - " domain users " will not authenticate but " Domain Users " will.  I realise that a lot of Unix/Linux stuff is case specific, but, with the exception being passwords, Windows AD doesn't really care if the user name matches.  "rojohnson" or "RoJohnson" are the same when it comes to domain logons.

    Anyway....

    WebAdmin authentication from AD works ( Shows in the log that it authenticated from Active directory )

    With HTTP Profile authenticating in AD SSO mode, works great.  User names are now in the logs!!  Thanks!!

    With HTTP Profile authenticating in Basic Mode, authentication fails.  always.
  • I found that since 7.075, AD group specification must be done using the EXACT CASE (upper/lowercase) of the group as it is named in AD. This didn't used to be the case with 7.011.
    After upgrading to 7.075, I couldn't access WebAdmin using my AD user credentials, which I could with the same config under 7.011. Turned out that I'd specified the AD group using all lowercase. In AD, the same group used a mix of upper and lowercase. After I modified the group spec in WebAdmin to reflect this, I was able to successfully use my AD user credentials.
    Hope it's of some use.

    Sorry, I've just fully read TXGRobert's post, and realise I've re-iterated one of the points made!
  • I'm becoming more and more popular every day here at school...  :-) But I can't test this thing unless I do it with live data, so they are just going to have to suck it up.
    -------------------------------------------------------------------------

    I am using the AD to authenticate for Webadmin - Works fine.  I have my remote syslog setup to e-mail me on authentication events.  Everytime I log on to the webadbin I get an e-mail that said that the auth passed, and used AD.

    When I try to use Basic Auth with a http profile, I get an e-mail saying that auth failed, and the reason is that it was "DENIED".  Using the same u/p.

     I do not appear to have any operational problems with the proxy in standard mode.  I think I have that part figured out.

    But, I activated AD SSO mode throughout the district this morning, and the world seems to had came to a screaming halt for some people.

    We have a mix of Win98, 2000, and XP computers at school.  All can use the proxy fine in Standard mode.

    No one can use the proxy in Basic auth mode.

    The Windows XP machines work fine, as far as I can tell, in AD SSO mode.

    The Windows 2000 computers ( AD Joined/Members ) do not.  they just time out.  I don't even see them appearing in the HTTP log.

    The Windows 98 machines do not work.  Same as the 2000 machines.

    Any computer not joined to our AD fails as well, since Basic Auth doesn't work/isn't setup right.

    I thought that it would try the "Fallback" option as a last chance, guess not?
  • Any confirmation on this?  Anyone here actually getting Basic authentication to work?  I would have sworn that it was working for me yesterday pre-v7.091, but I could be mistaken.
  • Finally got SSO working.

    However, to get it to work, I had to join the domain via the short NETBIOS name rather than the longer fully qualified AD domain name. (ie COMPANY rather than company.com.au)