Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 6 replies
  • Subscribers 0 subscribers
  • Views 3905 views
  • Users 0 members are here
Options
Suggested

[9.200-11][ANSWERED] OTP - How?

ipzipzap
Hi,

I authenticate my users against an AD and I can log in to the user portal without any problems.
Now I've activated OTP, with "All users must use one-time passwords" and "Auto-create OTP tokens for users" checked.

As I unterstand, a user who logs in to the user portal should now get a QR-Code upon the next login. But I get an "Invalid username/password, or access denied by policy." error instead.

If I disable OTP the login works again just fine.


Any help would be greatly appreciated.

Dino
  • 0
    Hi Dino,

    So you are saying you do not see the QR Code in User Portal after initially logging in? Did you enable OTP for facility User Portal?
    Thanks
  • 0
    Did you enable automatic user creation, in Definitions & Users -> Authentication Services -> Global Settings. If not, plz enable, because OTP needs the user to be stored locally.
  • 0 in reply to Tinkerbell
    Hi Dino,

    So you are saying you do not see the QR Code in User Portal after initially logging in? Did you enable OTP for facility User Portal?
    Thanks


    Yes and yes. After enabling OTP I could not login anymore with the error above. If I disable OTP, it works.

    Did you enable automatic user creation, in Definitions & Users -> Authentication Services -> Global Settings. If not, plz enable, because OTP needs the user to be stored locally.


    Yes, the automatic user creation is enabled. And the user is already stored locally, because I can log in to the user portal and SSL VPN. But if I enable OTP, nothing works anymore.

    Dino
  • 0
    Hi

    Can you plz enable aua debugging with : pkill -USR2 aua.bin
    Then please attach aua.log when the event is occuring.

    I also was able to reproduce this, only when the Secret for the OTP token "expires". Then I did a reset and it worked.
    Did u ever use OTP so far with any users?

    Thanks
    Bianca
  • 0 in reply to Tinkerbell

    I also was able to reproduce this, only when the Secret for the OTP token "expires". Then I did a reset and it worked.


    Maybe i should rephrase the secret does not expire, upon reset it is simply shown again in user portal.

    There's another scenario where the QR code could not be displayed. For example if you use a remote user, which is the same with a local user, but in different cases (upper/lower cases). The remote users are case insensitive, while the local ones are case sensitive. Let me give you an example maybe its better to understand:
    - local user: test123
    - same user in AD: test123
    - you login via user portal with Test123
    => authentication will succeed via AD since is case insensitve, a user object will be created with the same name as the local user test123 => you get the error message => no QR code displayed.

    Other useful threads:
    http://www.astaro.org/beta-versions/utm-9-2-beta/50395-9-191-otp-user-portal.html

    Looking forward for your feedback,
    Bianca
  • 0 in reply to Tinkerbell
    Hi

    Can you plz enable aua debugging with : pkill -USR2 aua.bin
    Then please attach aua.log when the event is occuring.

    I also was able to reproduce this, only when the Secret for the OTP token "expires". Then I did a reset and it worked.
    Did u ever use OTP so far with any users?

    Thanks
    Bianca


    Okay, did this. But how do I disable debugging now?
    And you know that the aua.log now includes all User and even the (Web-)Admin Passwords in plaintext? [:O]

    EDIT: So I would rather send you the logfile with removed password and via encrypted email.
    EDIT2: I've sent you a PN.

    Dino
Unfiltered HTML