[7.502][SOLVED]Astaro and AD

Yes, you do.  I've emailed "Configuring the HTTP Proxy with AD in Astaro V7.5" to your .gr address - a document I first created during V7.3. Please make suggestions about improving/correcting it.

Cheers - Bob

thanks Bob

I will have a look and provide feedback here and via email for the guide [;)]

The guide provided was really useful ( there are some minor issues but I emailed bob)

Could someone confirm the steps done and address couple minor issues?

Creating AD users
=========================
1)Under Users>>Groups I've created the Active Directory users group (picture attached). At the moment it only contains two users
2)Under Authentication>>Global Settings-->Create users automatically is ticked and Automatic "user creation for facilities" option has HTTP Proxy enabled
  Under Authentication>>Servers I was able to connect to the DN successfully  
  Under Authentication>>Single Sign-ON ,Astaro joined the domain with no issues

DNS Server
========================
1) Under the "Allowed networks" I 've included my internal network since I am going to use Astaro as secondary DNS (primary DNS will be the internal DNS server and secondary will be ASG)
2) Under the "Request Routing" I've added a static route of the domain to point the Domain server

HTTP/proxy
=========================
1)On the HTTP proxy profiles I am facing the following issue:

  a)if I let the specific profile using Transparent mode, I can browse the internet but I can't see the AD authentication (makes sense)
  b)If I add the proxy settings on the broswer I am unable to see trafic on the log
  c)If I change the operation mode to AD SSO I am unable to browse the internet

I am guessing no one is using AD? [[[:P]]][[[:P]]][[[:P]]]

Hmmm, I guess I need to be a bit clearer about the group definition in the document. [[;)]]  You are using the entire Distinguished Name (like “CN=Web Allowed,OU=Users,OU=MyBusiness,DC=Ourdomain,DC=local&#8221[[;)]].  That's a bug in WebAdmin, and you must change the defintion to contain just the content of the CN (Web Allowed in my example).

As you know (but others who read here might not),the DNS Server configuration is unrelated to using AD-SSO with the HTTP/S Proxy.

Yes, you do need to put the Profile into AD-SSO mode and point your browser at the proxy.  Remember that only IE7 (maybe IE8, now) is certified to work with this.  Chrome and FireFox have been know to show idiosyncratic behavior.

Cheers - Bob

Hmmm, I guess I need to be a bit clearer about the group definition in the document. [;)]  You are using the entire Distinguished Name (like “CN=Web Allowed,OU=Users,OU=MyBusiness,DC=Ourdomain,DC=local”).  That's a bug in WebAdmin, and you must change the defintion to contain just the content of the CN (Web Allowed in my example).

As you know (but others who read here might not),the DNS Server configuration is unrelated to using AD-SSO with the HTTP/S Proxy.

Yes, you do need to put the Profile into AD-SSO mode and point your browser at the proxy.  Remember that only IE7 (maybe IE8, now) is certified to work with this.  Chrome and FireFox have been know to show idiosyncratic behavior.

Cheers - Bob

I will have another go using IE this time as I was using chrome when tested the day before yesterday

I will also change the Distinguished Name and just include the container instead of the whoooooole name [:)]

I will test today and post back the results

Thanks

everything is configured for AD but I am getting an immediate (access denied) log below :

2010:02:03-19:49:08 stuffman httpproxy[9238]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="POST" srcip="192.168.2.11" user="pstoufis" statuscode="502" cached="0" profile="REF_gTJkfSrJvf (Trusted clients HTTPS)" filteraction="REF_DefaultHTTPCFFBlockAction (Zone 1)" size="2240" time="60129 ms" request="0xa68ce288" url="https://*****/index.plx" exceptions="" error="" reputation="neutral" category="140,178" reputation="neutral" categoryname="Personal Pages,Internet Services"


I know that authentication works since I got the auth test pass when I 've added the users on server section

I've configured the profile to have operational mode "edirectory SSO" and I am able to authenticate 

log:

2010:02:03-20:20:42 stuffman httpproxy[4118]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.2.11" user="pstoufis" statuscode="200" cached="0" profile="REF_gTJkfSrJvf (Trusted clients HTTPS)" filteraction="REF_DefaultHTTPCFFBlockAction (Zone 1)" size="1544" time="397 ms" request="0xa4f57650" url="ssw.msn.com/.../messengerscripttracking.aspx

Shouldn't the operational mode be AD thought????Everytime I shutdown the broswer I have to reauthenticate...authenication time is set 900

Another issue is that I can authenticate and browse the internet but when I try to update windows,the auth doesn't work

2010:02:03-20:43:23 stuffman httpproxy[4118]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.2.11" user="pstoufis" statuscode="200" cached="0" profile="REF_gTJkfSrJvf (Trusted clients HTTPS[edirectory])" filteraction="REF_DefaultHTTPCFFBlockAction (Zone 1)" size="35" time="172 ms" request="0xa4f6c9a0" url="www.google-analytics.com/__utm.gif
2010:02:03-20:44:09 stuffman httpproxy[4118]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="HEAD" srcip="192.168.2.11" user="" statuscode="407" cached="0" profile="REF_gTJkfSrJvf (Trusted clients HTTPS[edirectory])" filteraction=" ()" size="0" time="0 ms" request="0xa4f53d18" url="download.windowsupdate.com/.../muv4wuredir.cab
2010:02:03-20:44:09 stuffman httpproxy[4118]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="HEAD" srcip="192.168.2.11" user="" statuscode="407" cached="0" profile="REF_gTJkfSrJvf (Trusted clients HTTPS[edirectory])" filteraction=" ()" size="0" time="0 ms" request="0xa4f53d18" url="download.windowsupdate.com/.../muv4wuredir.cab
2010:02:03-20:44:09 stuffman httpproxy[4118]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="HEAD" srcip="192.168.2.11" user="" statuscode="407" cached="0" profile="REF_gTJkfSrJvf (Trusted clients HTTPS[edirectory])" filteraction=" ()" size="0" time="0 ms" request="0xa4f53d18" url="download.windowsupdate.com/.../muv4wuredir.cab
2010:02:03-20:44:09 stuffman httpproxy[4118]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="HEAD" srcip="192.168.2.11" user="" statuscode="407" cached="0" profile="REF_gTJkfSrJvf (Trusted clients HTTPS[edirectory])" filteraction=" ()" size="0" time="0 ms" request="0xa4f53d18" url="download.windowsupdate.com/.../muv4wuredir.cab
2010:02:03-20:44:09 stuffman httpproxy[4118]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="HEAD" srcip="192.168.2.11" user="" statuscode="407" cached="0" profile="REF_gTJkfSrJvf (Trusted clients HTTPS[edirectory])" filteraction=" ()" size="0" time="0 ms" request="0xa4f53d18" url="download.microsoft.com/.../muv4wuredir.cab
2010:02:03-20:44:09 stuffman httpproxy[4118]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="HEAD" srcip="192.168.2.11" user="" statuscode="407" cached="0" profile="REF_gTJkfSrJvf (Trusted clients HTTPS[edirectory])" filteraction=" ()" size="0" time="0 ms" request="0xa4f53d18" url="download.microsoft.com/.../muv4wuredir.cab
2010:02:03-20:44:09 stuffman httpproxy[4118]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="HEAD" srcip="192.168.2.11" user="" statuscode="407" cached="0" profile="REF_gTJkfSrJvf (Trusted clients HTTPS[edirectory])" filteraction=" ()" size="0" time="0 ms" request="0xa4f53d18" url="download.microsoft.com/.../muv4wuredir.cab
2010:02:03-20:44:09 stuffman httpproxy[4118]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="HEAD" srcip="192.168.2.11" user="" statuscode="407" cached="0" profile="REF_gTJkfSrJvf (Trusted clients HTTPS[edirectory])" filteraction=" ()" size="0" time="0 ms" request="0xa4f53d18" url="download.microsoft.com/.../muv4wuredir.cab
2010:02:03-20:44:09 stuffman httpproxy[4118]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="HEAD" srcip="192.168.2.11" user="" statuscode="407" cached="0" profile="REF_gTJkfSrJvf (Trusted clients HTTPS[edirectory])" filteraction=" ()" size="0" time="0 ms" request="0xa4f53d18" url="www.update.microsoft.com/.../muv4wuredir.cab
2010:02:03-20:44:09 stuffman httpproxy[4118]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="HEAD" srcip="192.168.2.11" user="" statuscode="407" cached="0" profile="REF_gTJkfSrJvf (Trusted clients HTTPS[edirectory])" filteraction=" ()" size="0" time="0 ms" request="0xa4f53d18" url="www.update.microsoft.com/.../muv4wuredir.cab
2010:02:03-20:44:09 stuffman httpproxy[4118]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="HEAD" srcip="192.168.2.11" user="" statuscode="407" cached="0" profile="REF_gTJkfSrJvf (Trusted clients HTTPS[edirectory])" filteraction=" ()" size="0" time="0 ms" request="0xa4f53d18" url="www.update.microsoft.com/.../muv4wuredir.cab
2010:02:03-20:44:09 stuffman httpproxy[4118]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="HEAD" srcip="192.168.2.11" user="" statuscode="407" cached="0" profile="REF_gTJkfSrJvf (Trusted clients HTTPS[edirectory])" filteraction=" ()" size="0" time="0 ms" request="0xa4f53d18" url="www.update.microsoft.com/.../muv4wuredir.cab

it seems like I am not authenticated (statuscode="407") but I am cause I am broswing at the same time!!!

Update: I redeployed the https certificate via GPO and everything works fine [:)]