Thread Info
  • State Not Answered
  • Replies 9 replies
  • Subscribers 0 subscribers
  • Views 2040 views
  • Users 0 members are here
Options
Suggested

[8.900][MYTH] No SSO Authentification

Der_Stift
I dont now, if the mechanism changed from v8 to v9 but I cant join a domain with the new v9 Beta. (Definitions & Users -> Authentification Servers -> Single-Sign-On)

In Version 8 I have had an input field to set the server. (active directory)
Now in Version 9 you cant set a server, only the domain name, admin username and password (2x). I dont know how these settings work with the connected server.

Rest of it does work, can connect to server, gettin user information and so on.
  • 0
    You're thinking of two different things, in fact, they're totally unrelated.  The domain join has been like that as long as I can remember. (Correction: I just checked a client's V7.511, and this field was there before.)

    On the 'Servers' tab, you can indicate a specific domain controller, but that section can be totally empty and you still can join the domain.

    You can't join a domain if there's more than five minutes difference between the domain and the client.  Also, you can't join if there's already a device with the same name.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Well its the same time and the hostname is unique [;)]
    I did check it with v8 and v9 at the same time and same configurations, loging credentials but different hostname and Ip-Adresses, of coure. 

    v8 = success
    v9 = No

    therefor, the only reason I can imagin is that you cant set your AD Server. 
    I dont think that the authentification mechanism has changed?
  • 0
    Does your ASG V8 setup also work if you do not specify a domain controller on the 'Servers' tab? I guess it doesn't, which may indicate a problem with the DNS setup of your domain.
  • 0
    mlenk, are you saying that the domain join and AD-SSO in the HTTP Proxy can function correctly with incorrect DNS if there's a domain controler on the 'Servers' tab?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi,
    are you saying that the domain join and AD-SSO in the HTTP Proxy can function correctly with incorrect DNS if there's a domain controler on the 'Servers' tab?


    Yes, this was the case up to ASG 8.200, but it turned out that the feature to explicitly specify an AD server used for AD-SSO was quite error prone. For this reason the Server field was removed in ASG  8.300. And now the corresponding Samba patch is gone too.

    Der_Stift, can you please verify whether you had such an explicitly configured AD server in your configuration by running the command on a shell: 

    cc get auth ad_sso sso_server


    and report the output?

    Thanks in advance,
    mlenk
  • 0 in reply to mle
    mlenk, 
    The output is: 
    V8
    auth->ad_sso->sso_server ="REF_NetHosAd"

    V9 produces an empty result.

    I did disable the connection at the servers tab and afterwards i couldnt join my domain with the V8.
    Well, when I had enabled the connection again, I couldnt join the domain either.
  • 0
    In this case your DNS setup is likely broken. Please make sure that your ASG is able find your AD server in DNS using the AD-SSO-Domain. If it doesn't an acceptable work-around is to add a DNS Request Route that delegates your entire AD-SSO domain to your AD server.

    Regards,
    mlenk
  • 0
    are you saying that the domain join and AD-SSO in the HTTP Proxy can function correctly with incorrect DNS if there's a domain controler on the 'Servers' tab?

    Yes, this was the case up to ASG 8.200, but it turned out that the feature to explicitly specify an AD server used for AD-SSO was quite error prone. For this reason the Server field was removed in ASG  8.300. And now the corresponding Samba patch is gone too.

    Don't you mean that it was the field below the domain name, not a definition on the 'Servers' tab?  (Yes, I did correct my post above.[:)])

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi Bob,

    Don't you mean that it was the field below the domain name, not a definition on the 'Servers' tab?


    Yes, the field below the domain name was gone in the ASG 8.300 WebAdmin. Beginning with this Beta version the corresponding Confd node setting auth->ad_sso->sso_server has no effect anymore and will be removed too in the future.

    Regards,
    mlenk
Cookie Information Banner