Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 3 subscribers
  • Views 5386 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WebAdmin with OTP for Active Directory users

DistantObjects
I'm trying to configure my UTM220 on 9.201-23 so that users can use their Active Directory account to log into WebAdmin (if they have access), UserPortal and VPN with an OTP. I'd rather use a group to configure which users can use OTP, but I can't authenticate to WebAdmin when I use a group. If I add local users individually under the OTP Settings Users and Groups, everything works, but adding the Active Directory Users group causes logins to fail.

I don't want to specify All users must use one-time passwords, because I'd rather have at least one SuperAdmin that didn't use OTP to avoid getting locked out.


Working settings:
Authentication Services > Global Settings > Create users automatically: YES
Authentication Services > One-time Password > All users must use one-time passwords: NO
Authentication Services > One-time Password > Users and Groups: USER1 (local user)
Authentication Services > One-time Password > Auto-create OTP tokens for users: YES

Not Working:
All settings same as working except...
Authentication Services > One-time Password > Users and Groups: Active Directory Users (A Backend Membership group, not limited to specific AD group)

When Active Directory Users is specified, all OTP authentication to WebAdmin fails with Invalid username or password. On my domain controller I see a security event reporting Unknown user name or bad password, substatus 0xc000006a (which means username was right but password was wrong).

User authentication daemon log:
2014:06:18-12:44:56 utm aua[3453]: id="3006" severity="info" sys="System" sub="auth" name="Child 22030 is running too long. Terminating child"
2014:06:18-12:44:56 utm aua[23118]: id="3006" severity="info" sys="System" sub="auth" name="Unknown user MyUserName"
2014:06:18-12:44:56 utm aua[23118]: id="3006" severity="info" sys="System" sub="auth" name="Trying x.x.x.234 (adirectory)"
2014:06:18-12:44:56 utm aua[23118]: id="3006" severity="info" sys="System" sub="auth" name="Trying x.x.x.234 (ldap)"
2014:06:18-12:44:56 utm aua[23118]: id="3006" severity="info" sys="System" sub="auth" name="Trying x.x.x.235 (adirectory)"
2014:06:18-12:44:56 utm aua[23118]: id="3006" severity="info" sys="System" sub="auth" name="Trying x.x.x.235 (ldap)"
2014:06:18-12:44:56 utm aua[23118]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="x.x.x.20" user="MyUsername" caller="webadmin" reason="DENIED"


It looks like the UTM is sending the full text entered into the password field on the WebAdmin login page to the domain controller, but it should be removing the last 6 characters and checking the OTP.

Has anyone else seen this? Is it possible, or do I need to add every user individually to the OTP Users and Groups?


This thread was automatically locked due to age.
Parents Reply Children
No Data