Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 3991 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Ldap auth, does not work.

PerRL
Hi i am trying to get ldap auth work whit Astaro V7.104 and 7.200.

The users should have access to the end user portal and after that they will be granted access trough VPN.

I have the problem that the ldap server know the user, but my Astaro wont auth the user.

The error in the log look like this :
2008:06:17-11:54:34 (none) aua[12211]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="0.0.0.0" user="casalogic" caller="portal" reason="DENIED"

I had i all working up until this morning, but the other users could not make a auth against the ldap server.

I tryed to delete the user (casalogic) on the astaro box and log ind again så that the user would be generated again, but to no avail. The log on the ldap server says that the user are ok, but the Astaro box wont accept that for some reason.

I have a simular setup at another place, but here i have never had the luck to auth the user at that astaro box at all, but the ldap server at this place also accept the user, but the astaro does'nt.

Any one out there who got ideas to solve this ?


This thread was automatically locked due to age.
  • 0
    Have you accessed the LDAP server using a utility to ensure you can connect to it  secured or unsecured? A fairly good one is LDAP Explorer from ASP-DEV. After you verify LDAP is accessible but it still isn't working, you could try setting up a rule to bypass rule 3005 for the address of your LDAP server.
  • 0 in reply to kwyrick
    Hi kwyrick.

    It worked for this user until i deleted him from the firewall, then he could no longer log in.
    It's the same for all other users in the ldap server. There have been no changes to the ldap server, so the problem must be at the Astaro.

    Where do i find rule 3005 ?
  • 0 in reply to PerRL
    So this was working for the user until the user was deleted from the firewall? 

    If the user was deleted from the firewall you will also need to delete the user's certificate that is created for the user. If the certificate is not removed it will prevent the creation of a new user with the same username as the one that was deleted.

    To delete the certificate go to Remote Access -> Certificate Management 

    After the certificate is deleted the user should be able to login to the end user portal
  • 0 in reply to dilandau
    Hi Dilandau.

    The casalogic users cert was removed when i deleted the user, and i have already checked that it is removed.
  • 0 in reply to PerRL
    I found out that if i make a user with the same username but with backend auth, then it is possible to log ind again.

    So the automatic generation of users does not work.

    I will test it with some of the other users in the ldap.
  • 0 in reply to PerRL
    Long time, but anyway here is a follow up.


    There was a bug in the version used. With the new versions it is possible to get it to work.

    BUT !!!

    When you are using OpenLdap it is NOT possible to search for a user inside a group.
    Astaro have chosen to add a attribute at the user itself.
    Normally you would like to cut down administration to a minimum and add the user inside a VPN group. But that option does not work because Astaro have taken the short way and do NOT look inside groups, but only in the user itself.

    Så you have to add a attribute on the user object that tells the user can use the VPN.

    That is no option in our setup, so i have done the ldap search via a radius server.

    I have done a feature request for a solution to get the Astaro box to search inside groups.
    This is the most simple way to administrate a openldap server.

    It is not very nice to add or remove attributes on the user itself, and it is almost impossible to get a overview if you have to look inside every user to se who are granted access via VPN.

    I really hope that my feature (bugfix) request to astaro are submittet in a very short time.

    Regards

    PerRL

    Have a nice time out there.
  • 0 in reply to PerRL
    You are right, PerRL, that OpenLDAP isn't properly supported in 7.3x.  In reading the beta forum, it appears that this will be fixed in the soon-to-arrive version 7.4.  Thanks for adding your voice to those insisting on a fix.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    hi, im having the exact same problem in Release 9.111-7.
    Still not possible to search for a user inside a group?
Unfiltered HTML