Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 11 replies
  • Subscribers 0 subscribers
  • Views 2574 views
  • Users 0 members are here
Options
Suggested

[v7.360] Problems authenticating with OpenLDAP Server

b2bweb
Hi All,

I've got an OpenLDAP server running on SUSE Enterprise Linux 10 server which I'd like to authenticate against.

I've got into Users -> Authentication -> LDAP, and filled in all the correct details for my server, and using the Test button, I get the response "Authentication test passed. No groups found for this user". (Do there need to be any groups associated with the user to ASG's purposes?)

I've got automatic user creation turned on for everything under the global settings for Authentication.  Yet when I try to use the same login details that I did with the testing button above to login to the user portal, I'm refused with the generic message "Invalid username/password, or access denied by a policy".

Looking at the Authentication Daemon logs, there's not enough info to give me any clues:

[SIZE="1"][FONT="Courier New"]2008:12:08-21:48:40 (none) aua[15080]: id="3006" severity="info" sys="System" sub="auth" name="checking if benh is enabled"
2008:12:08-21:48:40 (none) aua[15080]: id="3006" severity="info" sys="System" sub="auth" name="user is enabled. Calling do_auth()"
2008:12:08-21:48:40 (none) aua[15080]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="10.0.10.20" user="benh" caller="portal" reason="DENIED"
[/FONT][/SIZE]

I turned on heavy logging on the LDAP server side as well and this is what I found:

2 attachments - one is the LDAP server logs when the "Test Login" button is used successfully on the LDAP Settings screen, the other are the server logs generated when a portal login is attempted with the same user account - both BIND successfully!  I'm at a loss why portal is coming back with a login result of "DENIED".

There's no local user with clashing email or login details.

Does anything jump out to you guys as to why the same results from the LDAP server (successful search and BIND) would give a positive test result, but fail to create an automatic user for the User Portal web pages? Or is there extra places I can be looking for clues as to why LDAP authentication is failing? (tried with multiple LDAP users)....

Cheers,

Ben
  • 0 in reply to b2bweb
    The authentication mechanism on the ASG is twofold:

    1. Authentication (against the backend)
    2. Authorization (against the ASG)

    ad 1. The ASG authenticates the user against the backend. I.e. it is checked, if the backend knows the user, and if the password is correct.

    ad 2. The ASG checks the authorization of the user for the requested facility (i.e. service). In order to do this, the user must be known to the ASG either by a user object, or by membership to a group.

    In your case (LDAP or Radius), you would need to create a group with backend match of LDAP or Radius. A user successfully authenticating against the backend will fall into the corresponding group. The ASG then checks, if the service the user requested is available to this group. 
    This is neccessary, even if you have 'allow all users' enabled in the Portal.

    Also note that there is a difference between groups on the LDAP server and groups on the ASG.