Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 2124 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Is it possible to combine RADIUS authentication and AD groups (SSL VPN)

asc
Hi everybody,

I use a RADIUS backend user group "Remote Users" to authenticate my SSL VPN users with Aladdin Tokens. So far so good, my RADIUS has a network policy granting access to all users of an AD group "remoteUsers". So all users in the AD group remoteUsers can log in with the Token and their PIN.

The problem is now that I want to use AD groups to further differentiate the network filter rules for each user. It looks like that's not possible, because a RADIUS authenticated user at ASG is bound to my "Remote Users" backend group and I can either authenticate via AD or RADIUS. Am I right?

So the only way to solve this is to set up some local Astaro groups containing the RADIUS users.

Can anyone confirm this? I would really like to manage different access groups on AD level, but it wasn't be a bummer if that would not be possible.

Thanks in advance
Alex


This thread was automatically locked due to age.
  • 0
    Hi Alex,

    i can confirm that grouping backend authenticated users in asg groups works fine. We use that for different SSL VPN user groups to allow access to different severs. You can use the [groupname](network) objects in firewall rules.

    I can imagine that the asg radius client does not make use of the answer of the radius server (beside of access/no access) even if the radius server sends back additional information. But depending on the number of users/groups and the change frequency using asg groups is an easy way.

    Regards
    Manfred
  • 0
    What Manfred said.

    There's only one "(User Network)" object for a user, regardless of how the user was authenticated.

    I don't think the "{Backend Group} (User Group Network)" gets populated though, again, regardless of how the user was authenticated.  That seems like an oversight or a bug to me though.

    Cheers - Bob
  • 0
    Thanks Manfred and Bob for your quick replies. Now I'm gonna use local ASG groups for the different VPN connections. Good enough! [:)]

    Regards
    Alex