Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 3 subscribers
  • Views 27665 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

RemoteAccess with AD UPN login

360ict
Hi, 

We just configured a UTM solution for ~800 VPN users and we're using MS Active Directory servers as authentication servers for SSL VPN logins. Our users all have usernames like user2012, user2013 and login using their UPN name like bgates@ms.com to login to our network.

But if we try to authenticate the users in the userportal with the UPN login, the UTM does not recognise the credentials. If i try to do this with the test button in the "webadmin --> authentication servers --> servers --> edit --> Authenticate example user" this fails as well. 

Our supplier Contec ISC confirmed this and suggested adding a feature request, but i'm trying my luck here to check if this can be fixed without a feature request. [:)]


This thread was automatically locked due to age.
  • 0
    This doesn't sound like it's setup the way I would do it.  When is this supposed to go into production?  What is the hardware this is running on?

    Cheers - Bob
  • 0 in reply to BAlfson
    The UTM's (in HA) are VM's (with 6 cores, 8Gb mem and 1gbit inet uplink and version v9004) installed on Hyper-V (16cores, 128mem) and Contec ISC did a succesfull load test with 850 users (the users only use rdp and ica and the UTM version was v9003 during the load test). So i'm not worried about the way this is setup as the load test yielded good results.

    What i am worried about is that i can't use UPN logins for the user portal, do you know how we can fix this?
  • 0
    with 6 cores, 8Gb mem

    I might have given it a bit more RAM, but you gave all of the right answers! [:)]

    I'm confused as to why you would want an additional set of User#### definitions.  I would have:

    • Created a Security Group in AD named "SSL VPN Users" and added the appropriate users
    • Created an AD-authenticated Backend Group "SSL VPN Users" linked to the AD Group of the same name
    • Configured 'Prefetch directory users' to prefetch the Backend Group "SSL VPN Users" on a daily basis
    • Populated 'Allowed users' in the SSL VPN to contain only the Backend Group "SSL VPN Users"
    • Configured the User Portal to allow users to download the SSL VPN Client+Configuration

    To enable a new employee to use the SSL VPN, it's only necessary to add the individual to the AD Security Group.  Remove an employee from the Security Group to block that individual's access.

    Voilà - users access using only their AD credentials.  Is that what you were looking for?

    Cheers - Bob
  • 0
    Bob, 

    we setup the authentication as you described and this works fine. 

    But i think you misunderstand me;
    - the AD user bgates@ms.com = user1212, so it's the same user, just a different way to do a login.
    - in a default AD setup, the userX normally has a UPN of userX@domain.local, but userX and userX is the same user.
    - you can find more details about UPN here: Add User Principal Name Suffixes
    i added a picture of the user config in AD;
    Capture.PNG

    So to clarify;
    - if i login with user2012 in the user portal, this works fine.
    - if i try to login with user2012@domain.local, this does not work. 

    Contec ISC says a UPN login can easily be done with LDAP
  • 0
    Thanks - I understand now.

    Cheers - Bob
  • 0
    Noproblem!

    It seems there is a feature request for this;
    Authentication: Support UserPortal Logins with "username@domain.com"

    I awarded 3 votes to this and it's currently in the top40 of feature requests..
  • 0
    Try that:
    - create new authentication Server, Typ: LDAP, UserAttribute:  -> userPrincipalName 
    - create new Group , Typ: backend membership, Backend: LDAP, Check the Box by "check an LDAP attribute" , then enter "Attribute"="memberOf" and to "Value" the LDAp-Notation from the Group (e.g. in the AD the Group VPN-User). Its very important, the Name of the Group as ldap distinguished name. Do not Test with the Test-Funktion, that dont work.
    - put this Backend Group to "User Portal" or "Remote Access" --> SSL-VPN to the Allowed Groups
  • 0
    So i disabled the AD authentication servers and configured an LDAP authentication server like this;


    I tested this with a UPN login (user@domain.com) and it gave me;

    So this looks good.

    Now for the second part, i extracted the distinguished name of the AD group by using adsiedit on that AD server


    I then configured the user portal like this and pasted the previous distinguished name in the Value field;



    But if i try to login to the userportal with user@domain.com, it still won't work. Can you tell me if i'm doing something wrong?
  • 0
    After creating the Backend Group, did the 'Authenticate example user' test show that the user was a member of the group?  If not, maybe there's an old bug that's rearing its ugly head - try changing the 'Value' in the Group definition to just the content of the CN that you've blocked out.

    @elalesku - Testing in the server definition only works after you Save and then Edit the server - I agree that it should work before the Save.

    Cheers - Bob
  • 0 in reply to BAlfson
    Bob, 

    i tried just the groupname, not the whole distinguished name;
    Value > CN=Groupname
    Value > Groupname

    But the Authentication server didn't see any other groups other than "LDAP users". The user portal wouldn't let me login either.