Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 3521 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

User authentication from NT-Domain Controller

Jochem Berends
First my compliments for this excellent firewall sollution. I never ever came in contact with such a nice/clean and workable piece of softwarebundle (and I've seen/tried MANY! in capitals!) Anyway... to the point

I want to pull the user authentication schemes for the VPN connection out of the SAM database of the Primairy Domain Controller.

I'm sure that everything is right but the ASL box can't seem to grab the MSCHAP authentication schemes from the PDC (this information is entered at the System/User Authentication in the webadmin using the NETBIOS name of the PDC and it IPaddress)

Next to it I put in one normal user in Definitions/Users in the webadmin and this user seems to authenticate nicely (client=WinME VPN) but NOT when I provide a domain to logon to (naturally it this to authenticate in the domain    )

I'm wondering if I have to tell the PDC that its SAM database is going to be read by this and that IP address in the network... Or do you suggest to install a RADIUS package on the PDC or the Backup Domain Controller to use as an authenticator for my users.

The problem is that my users made with the user manager at Definitions/Users are not able to browse the network/domain.. an undesirable situation.

Anyway... suggestions or examples of how you dealed with this problem (in other words: which box you had to tag in windows) are most welcome.

[ 01 September 2001: Message edited by: Jochem Berends ]


This thread was automatically locked due to age.
  • 0
    Heya,
    I recently thought about that but I could never get it to work either. I think that the SAM authentication is just for the proxy services (but I could be wrong). 
    I have a similar situation where employees with Windows 2000 laptops are often on the road and need to VPN into the internal network. 
    What I have them do is:
    1) Set up the connection (with the PDC setup as a WINS server in TCP/IP properties for that connection).
    2) Have them log out (assuming they have a broadband type of connection where if gets activated without user input/ i.e no dialup), and when they log back in click "log-on through Dial-Up" at the Win2k login screen; it will then process the VPN connection before it tries to authenticate them to our domain (they way they usually log in when they are in the office).
    This way they are on the domain, can hit any machine internally (netbios resolves because of the WINS) and browse the Network Neighborhood. 
    The only problem is, I have to either let them all use the same astaro VPN login, or give them all thier own.

    I didn't really answer the question, but I would like to discuss this since my situation is so similar.

     [:)]

    Thanks,
    Ryan R.
  • 0 in reply to Ryan Robitaille
    (shameless bump)  [:)]
    But really has anyone gotten PPTP VPN to authenticate using a SAM source? The SAM source is configured correctly to point to the PDC; however all I ever get when I try is: "pppd[15545]:No CHAP secret found for authenticating" This is with the domian login DOMAIN//user.name. If i create a real user on the firewall and authenticate with that it works fine. 
    Am I trying something that isn't supposed to work? help me out here. thanks

    Ryan R.
  • 0 in reply to Ryan Robitaille
    That is exacally my point.. SAM authorisation doesn't seem to work. Bad logs on the NT-PDC machine doesn't tell us whether the ASL box was attempting to even reach the PDC for authentication.

    To overcome this problem we just installed a RADIUS authentication server on the PDC but we were unable to remove the SAM authourisation config on the ASL box and now I'm not sure which protocol is used to authenticate. It seems the SAM authorisation is still in effect because the log-faults are identical.
  • 0 in reply to Jochem Berends
    So after you setup the RADIUS service, you WERE able to authenticate the VPN clients via thier domain logins? 

    Ryan R
  • 0 in reply to Ryan Robitaille
    LOL... Idle hope..

    No I was not able to connect my clients with VPN in the NT domain using either RADIUS nor SAM authentication. 

    Because I couldn't delete the SAM authorisation in the ASL config (webadmin) I'm not sure that Roadwarrior uses RADIUS to authenticate. In the logfiles the faults seems to be the same as before.
  • 0 in reply to Jochem Berends
    I've got the same problem and I found a description of in on the nt4 buglist:
    Microsoft Support site
    they propose to install a special
    ServicePack 6 bugfix.  
  • 0 in reply to Leonard Lin
    hi everyone,

    sorry for the delay.

    Just to clear up the speculations: PPTP auth does ONLY work with LOCAL users right now. This is because of the complicated way that the MPPE encryption is set up.

    It could (and I will try to make it) work with RADIUS (MS has defined some extra attributes for PPTP/MPPE purposes).

    So, FTTB, you cannot use existing user databases for PPTP auth, sorry.

    /tom
  • 0 in reply to tom_01
    Tom,
    Any plans in the future versions of ASL to support PPTP authenticate via Radius or SAM ????
  • 0 in reply to comeanddance
    Hmmm.. I'm wondering at the moment what the function of these options in the ASL webadmin is then...

    First of all I have to say that it is a really disappointment to hear this. The software for the rest is flawless...

    If I can be off any help how to fix this part... WHich package is controlling the SAM/RADIUS interfacing?
  • 0 in reply to Jochem Berends
    To follow up on Tom's posting early last month if anyone is working on getting radius authentication working with pptpd I would be very interested. 

    I tried to get hold of a patched version of pppd which supported radius and I thought I had managed to get it copied in and configured.  However I couldn't get past a problem of the kernel not having PPP support.  I guess the patched version doesn't talk nice to the kernel that's in ASL.

    Anyone got any suggestions as to where I look next?

    Charles
Unfiltered HTML