User Portal Setup

ASG hardware or other config?
Version?
Relevant proxies enabled?
VPN configured?

Cheers - Bob

Sorry: at the time of posting, it was an ASG110 running 7.202; I've since "broken" it by forcing the install of up2date updates and won't know its status until I get home and reboot it manually (approx 2 hours from now).

I don't know that I have any relevant proxies enabled.

I had both PPTP and L2TP over IPSec enabled.

I've got it figured out. Now that the router is back up and running 7.304, the interface is refusing to allow me to put remote-auth groups and users into the PPTP and L2TP auth members.

I have learned that--while a set-it-and-forget-it setup isn't possible (users added to the RADIUS/Active Directory don't automatically get VPN access), with minimal effort (and never needing to know their domain passwords) I think I've got it nailed down.

MillardJK, I suspect that you have identified an anomaly, but more information is needed before that's clear.

I'm sure you saw in the docs that PPTP and L2TP over IPSec both can authenticate only locally or through a RADIUS server.  I don't think RADIUS returns an email address; it just grants access.  If the local user is automatically created in the Astaro by RADIUS, I suspect there's no email address associated with it.  If there's no email address, I know that none of the Mail tabs will appear in the User Portal.

From your report, I suspect that the Astaro might not update the user's email information unless you have 'Prefetch' configured on the AD tab of 'Users >> Authentication'.  Further, that it won't do that upon the first login unless 'Enable backend sync on login' is checked in the 'Prefetch' configuration.

[LIST=1]

• On the 'Advanced' tab of 'Users >> Authentication', do you have AD ahead of RADIUS or vice versa?
  
• Did you see the same phenomenon upon subsequent logins?  Please describe that explicitly.
  

[/LIST]
Is there any other information you can share about the above?

Thanks - Bob

Here's my config (ASG 7.304):

• AD auth comes after RADIUS
  
• AD is set to prefetch users on a weekly basis.
  
• Specific AD groups are flagged for prefetch
  
• RADIUS is configured to "talk" to the IAS service on the same AD domain
  
• IAS is configured to permit both PAP and MS-CHAP/MS-CHAPv2
  
• A local group for each connectivity type (PPTP, L2TP) has been configured
  
• Each local group is respectively configured in the access control for the connection type
  
• Both connection types are set to RADIUS auth
  

With this setup, all I have to do is manually add auto-created users to the local folder for the connection type I want them to use, and voila: the remote access option(s) are available, and using them works well, too.

Thanks, it sounds like you quickly identified a work-around.

I guess that the 'empty' User Portal you described didn't have the email tabs because of what I described above, and that you could obviate that problem by putting AD ahead of RADIUS.  You also would need to check the 'Enable backend sync on login' box in the AD Prefetch configuration.

Cheers - Bob

Thanks, it sounds like you quickly identified a work-around.

I guess that the 'empty' User Portal you described didn't have the email tabs because of what I described above, and that you could obviate that problem by putting AD ahead of RADIUS.  You also would need to check the 'Enable backend sync on login' box in the AD Prefetch configuration.

Cheers - Bob

Prefetching with AD takes care of the issue with automatic creation: the userIDs on the ASG are created and populated with email addresses prior to the user ever trying to login to the portal. Putting RADIUS first takes care of remote access; in my testing, if AD is first, the remote access button isn't available.

Interesting. Earlier today, I emailed one of the Astaro folks suggesting that they look at this thread as you've done some excellent testing.

Thanks - Bob
PS I just tested with AD first, and the Remote Access tab appeared in the User Portal for a test user.