Remote ASG Authentication Against Central ASG

Passing user authentication on to another ASG is not supported. What do the users do on all of the 10 spoke ASGs? Maybe I can come up with another idea if you elaborate your use case a bit.

This is strictly for infrastructure device management (router, switches, etc)  I am trying to get to where I have a single point of entry for each infrastructure device management for the IT guys to be able to access the management interfaces and to allow the termination of an account in one place.

Have you considered using Astaro Command Center (ACC) for the ASGs. Sounds like it's just the thing you're looking for.

Two thoughts.

1. From the "hub" site, you can configure to be able to reach everything, including when you VPN into the central site.  If, for example, you're using SSL Remote Access, just add "VPN Pool (SSL)" to 'Local networks' for each site in the hub Astaro.  In each spoke site, change the subnet of 'VPN Pool (SSL)" and then create "VPN Pool Hub (SSL)" in 'Remote networks' of the site-to-site defintion.

2. Or, you can use a similar change in the site-to-site definitions to turn your configuration into a full-mesh where every site can reach every site.  Here's an example with two sites: https://community.sophos.com/products/unified-threat-management/astaroorg/f/58/p/53407/193972#193972.  Now, no matter where you are, you can reach each site directly.  If you want to be able to reach them from home, then you also need the setup from 1.

In order to do the same thing for all of your sites, there's another trick you can use in the central Astaro - a supernet.  Assume that your central site is 172.20.0.0/24, and that the additional sites are 172.20.x.0/24, use 172.20.0.0/16 for 'Local networks' for each site-to-site definition in the central Astaro.

Cheers - Bob

We are already using ACC.  The problem is that you have to first log into ACC then choose the webmin to access the device in question.  You also can't add the users from the gateway management console, you have to access the user setup from the Gateway Webmin Console.  The log in session activity all logs the same on the remote ASG's when you webmin from the ACC to a remote device.  Any changes made on the remote device appear to be made by the ACC_authentication user, not user bob, suzy, etc.

It doesn't allow the login authentication to any other devices.

Ideally I would like the Central ACC or the Central ASG to add the functionality to be able to run the Radius Service using the local users as the user database.

Bob,
I already can get to the remote ASG's and devices in the network setup using exactly /24 remote networks and the central netwrok /16 network setup.
What I am trying to do is to have the local user/password account ong the central account also work to authenticate to the Central ASG also work when you access the webmin interface on the spoke ASG's.

If the hub ASG could run the Radius Service based on the local hub ASG user database and then let the remote ASG use this Radius Service for webmin authentication this would work beautifully.

The Radius Service could also me moved to the ACC, it really doesn't matter to me which device it would be running on.

The Radius Service would also be able to authenticate access to other infrastructure devices like Switches and Printers.  Once we get an Active Directory deployed this could be moved to the AD, but that is a ways off for us right now.

So, this is just that you don't want to have to create accounts on each Astaro for WebAdmin?  Why not deploy a RADIUS server on an existing device?  There are a bunch of free ones out there.

Or, are you saying you want a login to any one WebAdmin to allow access to the other WebAdmins without logging in?

Cheers - Bob