Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 482 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

User Portal Setup

MillardJK
As near as I can tell, I've got everything properly configured for access to the user portal: 
  • the port is reset to a different one because I'm using DNAT to forward traffic to a webserver over both HTTP and HTTPS 
  • I can logon using my non-Admin userID when connecting to the new port using https 
  • the userID was autocreated from my ActiveDirectory connection setting 
  • the userID is explicitly added to the various VPN/remote access services.
  • the various services are properly enabled according to the documentation (that I have available)

That said: when I log on to the portal, all I get is an option to log out, along with the message from the 'custom configuration' bit. What am I doing wrong? can anyone point me in the correct direction?


This thread was automatically locked due to age.
Parents
  • 0
    ASG hardware or other config?
    Version?
    Relevant proxies enabled?
    VPN configured?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Sorry: at the time of posting, it was an ASG110 running 7.202; I've since "broken" it by forcing the install of up2date updates and won't know its status until I get home and reboot it manually (approx 2 hours from now).

    I don't know that I have any relevant proxies enabled.

    I had both PPTP and L2TP over IPSec enabled.
  • 0 in reply to MillardJK
    I've got it figured out. Now that the router is back up and running 7.304, the interface is refusing to allow me to put remote-auth groups and users into the PPTP and L2TP auth members.

    I have learned that--while a set-it-and-forget-it setup isn't possible (users added to the RADIUS/Active Directory don't automatically get VPN access), with minimal effort (and never needing to know their domain passwords) I think I've got it nailed down.
  • 0 in reply to MillardJK
    MillardJK, I suspect that you have identified an anomaly, but more information is needed before that's clear.

    I'm sure you saw in the docs that PPTP and L2TP over IPSec both can authenticate only locally or through a RADIUS server.  I don't think RADIUS returns an email address; it just grants access.  If the local user is automatically created in the Astaro by RADIUS, I suspect there's no email address associated with it.  If there's no email address, I know that none of the Mail tabs will appear in the User Portal.

    From your report, I suspect that the Astaro might not update the user's email information unless you have 'Prefetch' configured on the AD tab of 'Users >> Authentication'.  Further, that it won't do that upon the first login unless 'Enable backend sync on login' is checked in the 'Prefetch' configuration.

    [LIST=1]
    • On the 'Advanced' tab of 'Users >> Authentication', do you have AD ahead of RADIUS or vice versa?
    • Did you see the same phenomenon upon subsequent logins?  Please describe that explicitly.
    [/LIST]
    Is there any other information you can share about the above?

    Thanks - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Here's my config (ASG 7.304):

    • AD auth comes after RADIUS
    • AD is set to prefetch users on a weekly basis.
    • Specific AD groups are flagged for prefetch
    • RADIUS is configured to "talk" to the IAS service on the same AD domain
    • IAS is configured to permit both PAP and MS-CHAP/MS-CHAPv2
    • A local group for each connectivity type (PPTP, L2TP) has been configured
    • Each local group is respectively configured in the access control for the connection type
    • Both connection types are set to RADIUS auth


    With this setup, all I have to do is manually add auto-created users to the local folder for the connection type I want them to use, and voila: the remote access option(s) are available, and using them works well, too.
Reply
  • 0 in reply to BAlfson
    Here's my config (ASG 7.304):

    • AD auth comes after RADIUS
    • AD is set to prefetch users on a weekly basis.
    • Specific AD groups are flagged for prefetch
    • RADIUS is configured to "talk" to the IAS service on the same AD domain
    • IAS is configured to permit both PAP and MS-CHAP/MS-CHAPv2
    • A local group for each connectivity type (PPTP, L2TP) has been configured
    • Each local group is respectively configured in the access control for the connection type
    • Both connection types are set to RADIUS auth


    With this setup, all I have to do is manually add auto-created users to the local folder for the connection type I want them to use, and voila: the remote access option(s) are available, and using them works well, too.
Children
  • 0 in reply to MillardJK
    Thanks, it sounds like you quickly identified a work-around.

    guess that the 'empty' User Portal you described didn't have the email tabs because of what I described above, and that you could obviate that problem by putting AD ahead of RADIUS.  You also would need to check the 'Enable backend sync on login' box in the AD Prefetch configuration.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Prefetching with AD takes care of the issue with automatic creation: the userIDs on the ASG are created and populated with email addresses prior to the user ever trying to login to the portal. Putting RADIUS first takes care of remote access; in my testing, if AD is first, the remote access button isn't available.
  • 0 in reply to MillardJK
    Interesting. Earlier today, I emailed one of the Astaro folks suggesting that they look at this thread as you've done some excellent testing.

    Thanks - Bob
    PS I just tested with AD first, and the Remote Access tab appeared in the User Portal for a test user.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Cookie Information Banner