Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 3 subscribers
  • Views 4752 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

V7.005 users

Scott_Klassen
Just upgraded to V7 on an Astaro 220 yesterday. Having a bit of a problem in the users section. Been playing around a bit with creating backend auth users (MS AD). It seems that I have a phantom account hanging around. Made a local auth account, then deleted it. Then I tried to make an account with the same name using backend auth, but got an error basically saying that the account already exists. In the auth live log I get [FONT=monospace]2007:07:05-12:48:09 (none) aua[4220]: id="3006" severity="info" sys="System" sub="auth" name="updateUserObject: error creating user object for user sklassen: error OBJECT_NAMESPACE" which is saying the same thing.  [/FONT]I'm assuming that a reboot of the Astaro would clear the deleted account out, but is there a way to do this (reinitialize the auth engine maybe?) without rebooting the box?


This thread was automatically locked due to age.
Parents
  • 0
    One of our engineers, in testing this on his home network, found the same problem...

    Also, check this out (for those of you thinking about converting to Version 7 using a config from Version 6); if you have additional IPs defined on an Ethernet Interface on a Version 6 config, then import it using the wizard on Version 7.005 -- it brings the IPs over, but makes them non-deletable and non-editable... I've opened a ticket with Astaro on this.
Reply
  • 0
    One of our engineers, in testing this on his home network, found the same problem...

    Also, check this out (for those of you thinking about converting to Version 7 using a config from Version 6); if you have additional IPs defined on an Ethernet Interface on a Version 6 config, then import it using the wizard on Version 7.005 -- it brings the IPs over, but makes them non-deletable and non-editable... I've opened a ticket with Astaro on this.
Children
  • 0 in reply to BrucekConvergent
    I've got same issue.

    Created a user using AD Auth
    Worked fine.
    Deleted User (From Astaro)
    Deleted certificate for user

    Still cannot connect as user again as "Authentication Failed" despite it being deleted...  Help.
  • 0 in reply to Simon Shaw
    It's not great, but I have found a workaround.  With AD, usernames are case insensitive.  If you created the account as SShaw in astaro originally, try re-creating as sshaw or SSHAW.  It worked for me, but of course it does compound the issue as now I have two accounts in Astaro, one I can see and one "phantom".
  • 0 in reply to BrucekConvergent
    ahhh NO Bruce! Why did you have to just tell me that! I just imported a config today for a large government client for their webhosting presense.... they have been a loyal ASL customer since v3. 

    And to make it worse, they have 17 addidtional addresses! [:)]

    EDIT: WOW NICE!!! It shows them, but there is no edit button, or delete, just looks like a picture of them. Hope there is a fix for this one ASAP....
  • 0 in reply to ReD-MaN
    Can't remember who suggested it, but in another thread somebody said that you could set up a VMWare install with multiple NICS to emulate an appliance, set it up the way you want, and have a nice clean V7 config backup for your real appliance.
     
    I actually tried this.  First thing I did was take a snapshot of the unconfigured VM V7.  Then I imported my V6 config and I saw a bunch of things that I didn't much care for like the uneditable additional IPs.  Then I rolled back to the snapshot, manually configured it, exported the backup, and used that after I upgraded my appliance.  It took more time in prep work to do it this way, but avoided a lot of issues.
  • 0 in reply to Scott_Klassen
    It's a known issue in V7 that deleting a user account and creating a new one with the same name may fail.

    It's not great, but I have found a workaround.  With AD, usernames are case insensitive.  If you created the account as SShaw in astaro originally, try re-creating as sshaw or SSHAW.  It worked for me, but of course it does compound the issue as now I have two accounts in Astaro, one I can see and one "phantom".


    I counsel against this workaround, there is a much better solution.  Actually, the "phantom" ist not as mysterious as you might think:  In the Webadmin, go the RemoteAccess->CertificateManagement and delete the old certificate of the now obsolete user (basically, that's the phantom you are talking about).  After that, recreating the account should work ok.
  • 0 in reply to BrucekConvergent
    One of our engineers, in testing this on his home network, found the same problem...

    Also, check this out (for those of you thinking about converting to Version 7 using a config from Version 6); if you have additional IPs defined on an Ethernet Interface on a Version 6 config, then import it using the wizard on Version 7.005 -- it brings the IPs over, but makes them non-deletable and non-editable... I've opened a ticket with Astaro on this.


    While this is true, it's only fair to mention that while the additional interfaces can neither be edited nor deleted, any NAT rules that you had setup in v6 still function.  I have over 20 such interfaces setup, and they still route traffic as advertised.

    I have seen where everyone is complaining about this, but if anyone ever mentioned that they still work I must have missed it.

    I setup those interfaces over a year ago and to date, I have never had the need to edit them.

    Maybe I'm the exception to the "set it and forget it" rule?
  • 0 in reply to TXGARobert@Home
    RE: the non-editable additional IP Addresses issue; Robert, it is an issue if the system is placed on a different IP range at some point (change in ISPs, etc...) I like to make think about the future!  RedMan; I've found that they did fix the issue in Version 7.006... I don't know if up2dating to this version on your client that you've already upgraded will fix it; I only tested it by importing a V6 config after getting 7.006 installed.
  • 0 in reply to BrucekConvergent
    Bruce - I imported the file before reading that it would lock the interfaces as they were, but even knowing that I would still import it today knowing that as opposed to having to restart from scratch.  I can only "ass-u-me" that Astaro will have this fixed long before I switch ISPs.
  • 0 in reply to TXGARobert@Home
    the only catch is the unknown; will the up2date fix the issue after the import? or does one have to re-import the V6 config and re-do all the things that the V6 import doesn't configure?  Do we still have the V6 config?  I guess you can see where I'm going with this... it's why we tested it out, and when we saw the problem, we pushed back any customer migrations.  I have not tested up2dating over the top of a configuration that is goofed up in this manner to see if it makes the interfaces editable and deletable;  I'd be interested to know if anyone has tried that yet.
  • 0 in reply to BrucekConvergent
    I imported the v6 config into 7.005, which caused the interfaces to be non-editable.  I have since up2dated to 7.006 over the top of this, which did not fix anything.

    Everyone has their own issues, but for me, the non-editing of these interfaces is not a problem.  Here at school, we are pretty stable when it comes to ISPs and our range of IP addresses.

    My issues with it are the fact that I can no longer have groups assigned to other groups.  This is something I very much want.  I have 12 remote sites connecting back through this box, and every site has a "No Restrictions" group.  I want to be able to assign these 12 groups to a "Master Group" so I don't have to list them individually.

    Your issue appears to be the ability to edit these interfaces, something I am not likely to have to do in the next year.

    William appears to have a issue with the fact that Bittorrent appears to take down his firewall.  Running bittorrent here at the school is a "Bad Thing" and could land you in detention.  Again, a issues that doesn't affect me.

    These are all valid issues, just not something that would cause me not to go to v7, and for sure it isn't enough of a issue to make me type the whole thing in from scratch.

    In the 5 years I have been using the Astaro firewall, they have yet to leave me swinging in the breeze.  I have faith that these issues will be addressed, and am willing to wait on it.

    The kids at our high school absolutely hate the word "Astaro".  This makes me beleive that it's doing it's job very well.  :-)