Nested Active Directory groups

A link to the 8.200 release notes can be found at Astaro Security Gateway Version 8.200 Released.  I believe the group-in-group support is mentioned on page 8.

A link to the 8.200 release notes can be found at Astaro Security Gateway Version 8.200 Released.  I believe the group-in-group support is mentioned on page 8.

Working with nested groups is only supported for LOCALLY AUTHENTICATED objects. Period.

I've had a couple of support cases on this and the only way currently available to work with nested groups is to do the nesting on your ASG:

For example if you want to allow two AD-Groups "management" and "sales" to be able to connect via SSL-VPN you CAN NOT do this:
+ Create an AD-group on you PDC named "ASG-SSL-VPN" and add "management" and "sales" to it
+ Create a backend-authenticated group "AD_ASG-SSL-VPN" on your ASG that contains the AD-object "ASG-SSL-VPN".
+ Grant access to SSL-VPN for "AD_ASG-SSL-VPN".

That's how it SHOULD work. However, it does NOT.

But as a workaround you CAN DO:
+ Make sure that the two AD-Groups "management" and "sales" do only contain user-objects an no groups
+ Create TWO backend-authenticated groups on your ASG named "AD_management" containing AD-object "management" and "AD_sales" containing AD-object "sales"
+ Create a local group on your ASG called "SSL-VPN access" and grant SSL-VPN access to it
+ Add "AD_management" and "AD_sales" to "SSL-VPN access" 


Personally I don't like this approach because it somehow undermines your Active-Directory hierarchy. If you ever rearrange your AD-groups, these changes might not get reflected on your ASG or - even worse - might break authentication if you by accident nest groups in groups on your domain-controller (which usually is a daily task).

So PLEASE Astaro, fix this or stop claiming to support active directory because you do NOT.