Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 14 replies
  • Subscribers 0 subscribers
  • Views 5221 views
  • Users 0 members are here
Options
Suggested

[8.170][BUG][CLOSED] AAA strange behavior

PaulHolt
Hi all,

I'm having various issues with the authentication agent.  I get "Authentication Failed" and/or "The requested content is not allowed" errors.  Sometimes a simple fresh will bring the page up, other times I have to re-authenticate the agent or exit it and reload it.  There are even times when I have to give up on the agent and revert to the IP address in the WebFilter rules.

I get this on Vista SP2 with Firefox 4.01 and IE 9 as well as XP SP3 Firefox 4.01 and IE 8.  I have IPv6 enabled on the ASG with a Freenet6 tunnel, IPv6 is also enabled on the above clients.  I have two other XP SP3 systems (IPv4 only) running the agent and they seem to work fine so the issue seems to be IPv6 related.

Here is an excerpt from my client authentication log: 

2011:06:20-13:39:04 home-office argos[6985]: [argos_cmd]: Failed to read from SSL socket: 0 5

2011:06:20-13:39:04 home-office argos[6985]: [argos_listen]: New connection from 192.168.123.6

2011:06:20-13:39:04 home-office argos[6985]: [auth_aua]: User pholt authenticated [REF_DefaultAdirectoryUserGroup]

2011:06:20-13:39:31 home-office argos[6985]: [argos_cmd]: Failed to read from SSL socket: 0 5

2011:06:20-13:39:38 home-office argos[6985]: [argos_listen]: New connection from 192.168.123.6

2011:06:20-13:39:39 home-office argos[6985]: [auth_aua]: User pholt authenticated [REF_DefaultAdirectoryUserGroup]

2011:06:20-13:39:52 home-office argos[6985]: [argos_cmd]: Failed to read from SSL socket: 0 5

2011:06:20-13:39:52 home-office argos[6985]: [argos_listen]: New connection from 192.168.123.6

2011:06:20-13:39:52 home-office argos[6985]: [auth_aua]: User pholt authenticated [REF_DefaultAdirectoryUserGroup]

2011:06:20-13:40:24 home-office argos[6985]: [argos_cmd]: Failed to read from SSL socket: 0 5

2011:06:20-13:41:07 home-office argos[6985]: [argos_listen]: New connection from 192.168.123.6

2011:06:20-13:41:07 home-office argos[6985]: [auth_aua]: User pholt authenticated [REF_DefaultAdirectoryUserGroup]

2011:06:20-13:48:51 home-office argos[6985]: [argos_listen]: New connection from 192.168.123.190

2011:06:20-13:48:51 home-office argos[6985]: [auth_aua]: User PHolt authenticated [REF_DefaultAdirectoryUserGroup]

2011:06:20-13:48:54 home-office argos[6985]: [argos_cmd]: Failed to read from SSL socket: -1 5

2011:06:20-13:49:26 home-office argos[6985]: [argos_cmd]: Failed to read from SSL socket: -1 5


When I upgraded to 8.170 I reloaded the agent on my systems but it seems to be the same version.  Should I wait for an update to the agent?  Is there logging for the client agent because the above messages don't seem helpful.  Am I looking in the right place for log info?

Paul
  • 0 
    Astaro Beta Report

    --------------------------------

    Version: 8.170

    Type: BUG

    State: CLOSED

    Reporter: InTheAir+

    Contributor: Scott_Klassen

    MantisID: 

    Target version: 

    Fixed in version: 

    --------------------------------
  • 0 in reply to Astaro Beta Bot
    I've turned off IPv6 as much as possible and things are looking better.  I'll let you know in a day or two if things have stabilized without IPv6 running.

    Paul.
  • 0 in reply to PaulHolt
    I know I said I'd test for a couple of days before posting back but I had to help with an IPv6 issue.  For the last 24 hours my systems worked great with AAA.  As soon as I turned IPv6 back on my authentication failure messages came back, of course only for IPv6 sites. 

    Sorry, not trying to do a bump!
  • 0 in reply to PaulHolt
    OK, I've been running without the agent for a while now and everything works great.  I turn on AAA and I can no longer access IPv6 sites.... IPv4 sites work fine.

    Let me know what you need to see.

    I did check the client authentication log and nothing more than I've posted in this string before.  Because the authentication fails there is nothing in the web filter log either.

    Is anyone out there? [;)]

    Paul
  • 0
    Paul, did you try re-authenticating again?  I've found this to help frequently.

    Also, in Web Security, do you remember to change the authentication type to Agent and have the applicable Users/Groups set.  Take a close look at the objects (networks) that you've added for the Allowed Networks.  Under the NIC icon for each network, is there a "v4 v6" and when you hover over it does it show v4 and v6 addresses?  Check these same things in the Client Authentication area of WebAdmin as well.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0 in reply to Scott_Klassen
    re-authenticating doesn't help.  I can access an IPv4 site and it works... then access an IPv6 site and authentication fails.... then access an IPv4 site and it works again.

    I am using authentication type Agent, full transparent mode.  I tried without full transparent and that didn't help.  The Users/Groups setting is correct because I tested it by exiting the agent and everything then fails.  Start the agent again and the above still happens.

    I do have both IPv4 and IPv6 addresses in all Network definitions.  I checked the SSO area and it was using the IPv4 address only for authentication so I added the IPv4 and IPv6 definition.... but that didn't help.

    Thanks for the help Scott.

    BTW, is the agent part of this beta test?  If so it hasn't seen much testing.

    Paul
  • 0
    Yes it is.  I've been using it and haven't really had any issue other than the need to reauthenticate if:

    1)  The Astaro reboots
    2)  The Client reboots
    3)  The proxy service restarts
    4)  The wind blows from the north, south, east, or west.  ;P
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    Using HE tunnel broker.  From the assigned /64 subnet, I gave my internal interface an IPv6 address.  Internal clients are assigned IPv6 addresses from this same subnet using Astaro DHCPv6.  Using proxy profile in full transparent mode.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0 in reply to Scott_Klassen
    Scott, mine is similar and IPv6 is working great.... better than freenet6.  I found freenet6 tunnel would stop after seeing no traffic for a while and I had to kick it to get it working again.

    Anyway, I use proxy profiles in full transparent mode, I tested without full and it still fails.  I have 5 profiles total with the machine specific ones (IP address specific) at the beginning (no user/groups defined) and the very last profile, profile 5,  uses the agent and is defined for the whole network with users specified in the assignments.  

    In profile 5 I have 4 assignments listed, each assignment is for specific users and there is no duplication of users within the 4 assignments.  My understanding is that when this profile is selected the system looks at the assignments and compares the requesting user to the users in the assignments.  It selects the matching assignment with the requesting user.  Is that correct?

    I know it is using profile 5 because I can change it and it changes the result.  I also know that it isn't skipping it because the default would be no authentication and to block all sites.

    I know this was a long explanation but I couldn't make it any shorter. [:$]

    Paul
Unfiltered HTML