Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 3759 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Active Directory / LDAP

KyleT
Hello, I'm hoping someone has some experience setting up and ASG120 v8.203 to use Active Directory for client Authentication which will be used for SSL VPN.

Here is the error I get: Error: Server exists and accepts connections, but bind to ldap://192.168.0.231:389 failed with this Bind DN and Password.

Firstly, what's the difference between the Active Directory option and the LDAP option?  They appear to be the same.  I tried both and neither work.

The bind I am trying to use is:
CN=adminaccount,OU=MyBusiness,​DC=Domain,​DC=local

I read it was case sensitive somewhere, so I made sure our domain name which does have a capital in it was correctly capitalized, but it made no difference.

I made sure the ASG has the correct DNS entry on the server, and I also added SSO as a test which worked fine (although we don't plan on using that).

Thanks!


This thread was automatically locked due to age.
  • 0
    Maybe some discussion will help...

    SSO applies only with Web Security in AD-SSO mode when the Astaro is joined to your domain.  It works even if you don't create an AD server definition on the 'Servers' tab of 'Authentication Servers'.

    For all other purposes, the domain-join is meaningless, and you must create the server definition - apparently, that's where you're stuck now.  After that's done, in some cases, you must go to the 'Advanced' tab and pre-fetch users.  This is the case for SSL VPN users as the required user certificate isn't created until there's a local user object.

    At the command line of your AD server, do dsquery user –name admin* to confirm the Bind DN.  If that's correct, then you may want to reset the password in AD.

    Cheers - Bob
  • 0
    I was just seeing if SSO would be able to authenticate to Active Directory as a test, which it did.

    You suggestion of using dsquery was great because I didn't realize that it wanted the User's actual name, not the username.

    So, it authenticated correctly now....but now my local account appears to not work anymore.  Should local accounts still work?  I'm also trying all the domain admin accounts and they don't work either.  How does it expect me to login?  domain\username or username@domain.local, or just username?

    Thanks again!
  • 0
    if you have an Astaro "Locally authenticated" user with the same name and/or email address (instead of "synced from adirectory"), you will block the creation of the synced user object.  You can add your local user to 'Allowed users' for the SSL VPN, or you can delete the local one, pre-fetch your AD user and re-download the SSL config and certs via the User Portal.

    Cheers - Bob
    PS Be sure that you always have a locally-authenticated user allowed to access WebAdmin - you don't want to be locked out if AD gets hosed.
    PPS You can watch the pre-fetch Live Log to see when/why it refuses to sync a particular user.
  • 0
    Phew!  Looks like a reboot fixed everything.  I thought was locked out of WebAdmin and would have to recover from a backup!

    All is good, thanks so much!