Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 7036 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Active Directory & LDAP authentication.

stealthlogic
I'm configuring backend authentication on my ASG320 and I've run across an issue, First, here are my Bind DN and Base DN:

Bind DN: CN=administrator,CN=Users,DC=brammo,DC=main
Base DN: DC=brammo,DC=main

The tests work fine on the Bind DN but when it comes to the user authentication test under the Base DN I'm running into a problem. It works when the user attribute "CN (Common Name)" is selected. but only if I use the full name "Josh McDonald" when I try the user name "jmcdonald" it fails. So i figured I need to use a custom attribute so it looks in the right field. I changed it to custom and entered: samAccountName which is the correct active directory attribute for this field. Fails. I have also tried userPrincipalName, which is another attribute in active directory that posesses the user name. see attached screen shots for further details. Any Ideas?


This thread was automatically locked due to age.
  • 0
    Given what I see in the screenshots and in your posting, the most likely culprit is case sensitivity.

    Windows is case insensitive for usernames and many AD attributes, but Samba is kind of a stickler on this point.  Make certain that the case is correct for everything in this area.  For example, the custom attribute is not samAccountName, it is sAMAccountName.  

    This should work with just CN though.  jmcdonald is not the same as JMcDonald or JMcdonald.  This is going to apply to any of your users logging into Astaro services using backend authentication to AD as well, so a little training may be necessary for things like VPN where they will need to enter their username.  

    If you've been hammering away at the test logins, make certain that you haven't locked out the account in AD.
  • 0 in reply to Scott_Klassen
    Will check out these options, thank you! Sorry about the double post.
  • 0 in reply to stealthlogic
    No Luck, regardless of the case in the user name it doesn't authenticate, obviously Common Name is not the correct attribute that contains the windows 2000 compatible user names. I have also tried the different custom attributes, so either that feature isn't working correctly or the syntax I'm using is not correct, even though it's from reliable sources for Active Directory queries. I've tested the attributes using the AD Query tool as well to verify they are indeed correct.

    Any thoughts?
  • 0
    OK, I'm on 7.5, and I have LDAP configured, but that was just for grins as we use AD.  In LDAP, I can't get my account to authenticate unless I auth by surname.  I have no problem with my CN authenticating against AD.  I get my group memberships when I auth against AD, but when auth passes with LDAP, I get no groups.

    If AD auth isn't working for you, open the auth live log to check that you're trying what you think you're trying.

    Any reason to use LDAP instead of AD?

    Cheers - Bob