Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 20 replies
  • Subscribers 0 subscribers
  • Views 13475 views
  • Users 0 members are here
Options
Suggested

[9.171][BUG]AD Group Sync Fails

DavidRa
Not sure which log to grab and post, but I've configured a pair of AD servers as authentication sources (within the same domain). Both are local to the UTM. I've also configured group membership sync.

About every 2 hours I get the following alert:

There was an error synchronizing subscribed groups. The Sophos UTM will
continue to operate with a locally cached copy of the data but will be
unable to update from Directory Services until the issue is resolved.

Error was:
failed to run samba command on ACTIVE.DIRECTORY, exiting now
       
-- 
System Uptime      : 1 day 2 hours 51 minutes
System Load        : 0.83
System Version     : Sophos UTM 9.171-2

Please refer to the manual for detailed instructions.

I believe I can force the error if I go to Definitions & Users > Authentication Services > Advanced > Active Directory Group Membership Synchronization > Synchronize Now.

If someone can suggest logs / config data to post to diagnose, I'm more than happy to do so.
Parents
  • 0
    I'm unclear what you mean but under Authentication service/Servers Tab, I have one Backend server configured for Active directory. Then under the Single sign-on I have the firewall as Joined to the domain under status, Under the Advanced Tab I left all as defaults except I enabled "Active directory group membership synchronization and I configured the Prefetch directory users using the single DC I have and the DN as cn=users,dc=homeuse,dc=local 

    The users in that AD folder do get prefetched and I can use the AD id's to login 

    If you can be more specific in what other settings I have please let me know
Reply
  • 0
    I'm unclear what you mean but under Authentication service/Servers Tab, I have one Backend server configured for Active directory. Then under the Single sign-on I have the firewall as Joined to the domain under status, Under the Advanced Tab I left all as defaults except I enabled "Active directory group membership synchronization and I configured the Prefetch directory users using the single DC I have and the DN as cn=users,dc=homeuse,dc=local 

    The users in that AD folder do get prefetched and I can use the AD id's to login 

    If you can be more specific in what other settings I have please let me know
Children
  • 0 in reply to MarkMurphy
    Hi Michael, 
    I was able to reproduce their issue with AD SSO, UTM being joined in a domain and have a valid User Group configured. The middleware sometimes restarts samba (winbindd via /var/mdw/scripts/ntlm) from the web/http.pm module, so maybe there could be a problem with the dns (named) after restarting samba.

    I will file a Mantis for it. 
    Thanks everyone for checking. 
    Best,
    Bianca
Unfiltered HTML