Nested Active Directory groups

Support was added to 8.200 for nesting Astaro locally created Network Groups.  As I read the release notes, what you can do is create two backend authentication groups, one for each AD group, and nest those.

I'm also having the same problem with Astaro 8.200 not able to read groups in groups. ( Nested)  

I can authenticate, but no groups are read. If i take the AD group out of the nesting, its OK.  This just started happening and was working previously in my version 7.5  and notice it started with certain users in Specific groups.  I did a reboot on the Astaro and that when all fell apart.  I updated to 8.20  but still not resolved.

What do you mean by "nesting Astaro locally created [/B]Network Groups"As I read the release notes, what you can do is create two backend authentication groups, one for each AD group, and nest those.

Can you explain this a bit more?


Thanks

Hi, ngoodine, and welcome to the User BB!

I don't think you can nest heterogenous groups - I think all groups in a super-group must be of one, single type.  Have you tried that?

Cheers - Bob

A link to the 8.200 release notes can be found at Astaro Security Gateway Version 8.200 Released.  I believe the group-in-group support is mentioned on page 8.

Working with nested groups is only supported for LOCALLY AUTHENTICATED objects. Period.

I've had a couple of support cases on this and the only way currently available to work with nested groups is to do the nesting on your ASG:

For example if you want to allow two AD-Groups "management" and "sales" to be able to connect via SSL-VPN you CAN NOT do this:
+ Create an AD-group on you PDC named "ASG-SSL-VPN" and add "management" and "sales" to it
+ Create a backend-authenticated group "AD_ASG-SSL-VPN" on your ASG that contains the AD-object "ASG-SSL-VPN".
+ Grant access to SSL-VPN for "AD_ASG-SSL-VPN".

That's how it SHOULD work. However, it does NOT.

But as a workaround you CAN DO:
+ Make sure that the two AD-Groups "management" and "sales" do only contain user-objects an no groups
+ Create TWO backend-authenticated groups on your ASG named "AD_management" containing AD-object "management" and "AD_sales" containing AD-object "sales"
+ Create a local group on your ASG called "SSL-VPN access" and grant SSL-VPN access to it
+ Add "AD_management" and "AD_sales" to "SSL-VPN access" 


Personally I don't like this approach because it somehow undermines your Active-Directory hierarchy. If you ever rearrange your AD-groups, these changes might not get reflected on your ASG or - even worse - might break authentication if you by accident nest groups in groups on your domain-controller (which usually is a daily task).

So PLEASE Astaro, fix this or stop claiming to support active directory because you do NOT.

DiePlage, my understanding of the Astaro announcment was the second situation - nested groups in the Astaro now are supported - there's nothing about nested AD groups.

I admit I have only a vague understanding of the internals of Microsoft authentication, but I think your first solution always should have worked automatically - even before V8.2.  A quick google (active directory nested group kerberos ntlm) showed related issues with nested groups and WinServer 2003.

Did Support tell you that Astaro doesn't know how to work with nested groups in AD?

Cheers - Bob

Nested groups are supported now on Astaro but I think they are talking about nested groups on AD meaning that you have two or more groups which are members of another group on AD and this groups is used on Astaro, I remember trying something like that and it didn't work you have to configure each group on Astaro like how DiePlage has said.

At first it looked like ASG did support my AD Network. But after much work today I see that this is an issue Astaro needs to fix.  I enjoyed how well the Astaro interfaced with AD at first.  This is a major issue!  I do not want to restructure my entire AD network to suit Astaro.  Please advise when it is working as expected.