Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 2198 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

eDirectory SSO does not work ?

smaertchik
Who make eDir SSO working already ??'

I have eDir Authentication working well , but the SSO flag does not change anything. I still need to give Username & password...

Is there anything to configure on the LDAP side of eDirectory ??

Thanks


This thread was automatically locked due to age.
Parents
  • 0
    Hi,
    some things to check, maybe it helps:
    - What does /etc/log/aua.log say?
    - Do you have your Novell Clients installed with IP Protocol (SSO does not work with IPX only clients)?
    - What does DSTRACE +LDAP on the LDAP Server Say?
    - use this to check you LDAP Directory http://www.ldapbrowser.com
    cu SveN
  • 0 in reply to SveN_01
    Hello,

    Here is the aua.log

    2006:06:14-16:14:37 (none) aua[15326]: U:sma F:http R[:$]K C:edir
    2006:06:14-17:33:18 (none) aua[2702]: Discarded cache.
    2006:06:14-17:33:18 (none) aua[16224]: U:admin F:webadmin R[:$]K C:local
    2006:06:14-17:33:29 (none) aua[2702]: Reloading authentication configuration.
    2006:06:14-17:36:55 (none) aua[2702]: Discarded cache.
    2006:06:14-17:36:55 (none) aua[16440]: call slog() from getAuthenticationByUser(
    )
    2006:06:14-17:36:55 (none) aua[16442]: call slog() from getAuthenticationByUser(
    )
    2006:06:14-17:36:56 (none) aua[16442]: U:sma F:http R[:$]K C:edir
    2006:06:14-17:36:56 (none) aua[16440]: U:sma F:http R[:$]K C:edir
    2006:06:14-17:36:56 (none) aua[2702]: U:sma F:http R[:$]K [] C:cached
    2006:06:14-17:39:13 (none) aua[2702]: U:sma F:http R[:$]K [] C:cached
    2006:06:14-17:39:13 (none) aua[2702]: U:sma F:http R[:$]K [] C:cached
    2006:06:14-17:39:14 (none) aua[2702]: U:sma F:http R[:$]K [] C:cached

    Seems to be OK.

    And here the dstrace log as well :

    17:44:10 46BB71C0 LDAP: Created new monitor 0x0
    17:44:10 46BB71C0 LDAP: New TLS connection 0x43df07e0 from 192.168.1.99:41363, monitor = 0x0, index = 1
    17:44:10 46B665C0 LDAP: Monitor 0x1a0 started
    17:44:10 46B665C0 LDAP: Monitor 0x1a0 initiating TLS handshake on connection 0x43df07e0
    17:44:10 42441560 LDAP: (192.168.1.99:41363)(0x0000:0x00) DoTLSHandshake on connection 0x43df07e0
    17:44:10 46BB71C0 LDAP: New TLS connection 0x43df09a0 from 192.168.1.99:41364, monitor = 0x1a0, index = 2
    17:44:10 46B665C0 LDAP: Monitor 0x1a0 initiating TLS handshake on connection 0x43df09a0
    17:44:10 42441560 LDAP: (192.168.1.99:41363)(0x0000:0x00) Completed TLS handshake on connection 0x43df07e0
    17:44:10 42465600 LDAP: (192.168.1.99:41364)(0x0000:0x00) DoTLSHandshake on connection 0x43df09a0
    17:44:10 42441560 LDAP: (192.168.1.99:41363)(0x0001:0x60) DoBind on connection 0x43df07e0
    17:44:10 42441560 LDAP: (192.168.1.99:41363)(0x0001:0x60) Bind name:cn=sma,o=FIRE, version:3, authentication:simple
    17:44:10 42465600 LDAP: (192.168.1.99:41364)(0x0000:0x00) Completed TLS handshake on connection 0x43df09a0
    17:44:10 42465600 LDAP: (192.168.1.99:41364)(0x0001:0x60) DoBind on connection 0x43df09a0
    17:44:10 42465600 LDAP: (192.168.1.99:41364)(0x0001:0x60) Bind name:cn=sma,o=FIRE, version:3, authentication:simple
    17:44:10 42465600 LDAP: (192.168.1.99:41364)(0x0001:0x60) Sending operation result 0:"":"" to connection 0x43df09a0
    17:44:10 42465600 LDAP: (192.168.1.99:41364)(0x0002:0x63) DoSearch on connection 0x43df09a0
    17:44:10 42465600 LDAP: (192.168.1.99:41364)(0x0002:0x63) Search request:
       base: ""
       scope:2 dereference:0 sizelimit:0 timelimit:0 attrsonly:0
       filter: "(cn=sma)"
       attribute: "groupMembership"
    17:44:10 42465600 LDAP: (192.168.1.99:41364)(0x0002:0x63) Sending search result entry "cn=sma,o=FIRE" to connection 0x43df09a0
    17:44:10 42465600 LDAP: (192.168.1.99:41364)(0x0002:0x63) Sending operation result 0:"":"" to connection 0x43df09a0
    17:44:10 42441560 LDAP: (192.168.1.99:41363)(0x0001:0x60) Sending operation result 0:"":"" to connection 0x43df07e0
    17:44:10 42441560 LDAP: (192.168.1.99:41363)(0x0002:0x63) DoSearch on connection 0x43df07e0
    17:44:10 42441560 LDAP: (192.168.1.99:41363)(0x0002:0x63) Search request:
       base: ""
       scope:2 dereference:0 sizelimit:0 timelimit:0 attrsonly:0
       filter: "(cn=sma)"
       attribute: "groupMembership"
    17:44:10 42441560 LDAP: (192.168.1.99:41363)(0x0002:0x63) Sending search result entry "cn=sma,o=FIRE" to connection 0x43df07e0
    17:44:10 42441560 LDAP: (192.168.1.99:41363)(0x0002:0x63) Sending operation result 0:"":"" to connection 0x43df07e0
    17:44:10 42441560 LDAP: (192.168.1.99:41364)(0x0003:0x42) DoUnbind on connection 0x43df09a0
    17:44:10 42441560 LDAP: Connection 0x43df09a0 closed
    17:44:10 42441560 LDAP: (192.168.1.99:41363)(0x0003:0x42) DoUnbind on connection 0x43df07e0
    17:44:10 42441560 LDAP: Connection 0x43df07e0 closed

    Seems to be OK, but It look for the GroupMembership attribute and I did not set anything about that ???

    Is there something special to set ?

    Thanks
Reply
  • 0 in reply to SveN_01
    Hello,

    Here is the aua.log

    2006:06:14-16:14:37 (none) aua[15326]: U:sma F:http R[:$]K C:edir
    2006:06:14-17:33:18 (none) aua[2702]: Discarded cache.
    2006:06:14-17:33:18 (none) aua[16224]: U:admin F:webadmin R[:$]K C:local
    2006:06:14-17:33:29 (none) aua[2702]: Reloading authentication configuration.
    2006:06:14-17:36:55 (none) aua[2702]: Discarded cache.
    2006:06:14-17:36:55 (none) aua[16440]: call slog() from getAuthenticationByUser(
    )
    2006:06:14-17:36:55 (none) aua[16442]: call slog() from getAuthenticationByUser(
    )
    2006:06:14-17:36:56 (none) aua[16442]: U:sma F:http R[:$]K C:edir
    2006:06:14-17:36:56 (none) aua[16440]: U:sma F:http R[:$]K C:edir
    2006:06:14-17:36:56 (none) aua[2702]: U:sma F:http R[:$]K [] C:cached
    2006:06:14-17:39:13 (none) aua[2702]: U:sma F:http R[:$]K [] C:cached
    2006:06:14-17:39:13 (none) aua[2702]: U:sma F:http R[:$]K [] C:cached
    2006:06:14-17:39:14 (none) aua[2702]: U:sma F:http R[:$]K [] C:cached

    Seems to be OK.

    And here the dstrace log as well :

    17:44:10 46BB71C0 LDAP: Created new monitor 0x0
    17:44:10 46BB71C0 LDAP: New TLS connection 0x43df07e0 from 192.168.1.99:41363, monitor = 0x0, index = 1
    17:44:10 46B665C0 LDAP: Monitor 0x1a0 started
    17:44:10 46B665C0 LDAP: Monitor 0x1a0 initiating TLS handshake on connection 0x43df07e0
    17:44:10 42441560 LDAP: (192.168.1.99:41363)(0x0000:0x00) DoTLSHandshake on connection 0x43df07e0
    17:44:10 46BB71C0 LDAP: New TLS connection 0x43df09a0 from 192.168.1.99:41364, monitor = 0x1a0, index = 2
    17:44:10 46B665C0 LDAP: Monitor 0x1a0 initiating TLS handshake on connection 0x43df09a0
    17:44:10 42441560 LDAP: (192.168.1.99:41363)(0x0000:0x00) Completed TLS handshake on connection 0x43df07e0
    17:44:10 42465600 LDAP: (192.168.1.99:41364)(0x0000:0x00) DoTLSHandshake on connection 0x43df09a0
    17:44:10 42441560 LDAP: (192.168.1.99:41363)(0x0001:0x60) DoBind on connection 0x43df07e0
    17:44:10 42441560 LDAP: (192.168.1.99:41363)(0x0001:0x60) Bind name:cn=sma,o=FIRE, version:3, authentication:simple
    17:44:10 42465600 LDAP: (192.168.1.99:41364)(0x0000:0x00) Completed TLS handshake on connection 0x43df09a0
    17:44:10 42465600 LDAP: (192.168.1.99:41364)(0x0001:0x60) DoBind on connection 0x43df09a0
    17:44:10 42465600 LDAP: (192.168.1.99:41364)(0x0001:0x60) Bind name:cn=sma,o=FIRE, version:3, authentication:simple
    17:44:10 42465600 LDAP: (192.168.1.99:41364)(0x0001:0x60) Sending operation result 0:"":"" to connection 0x43df09a0
    17:44:10 42465600 LDAP: (192.168.1.99:41364)(0x0002:0x63) DoSearch on connection 0x43df09a0
    17:44:10 42465600 LDAP: (192.168.1.99:41364)(0x0002:0x63) Search request:
       base: ""
       scope:2 dereference:0 sizelimit:0 timelimit:0 attrsonly:0
       filter: "(cn=sma)"
       attribute: "groupMembership"
    17:44:10 42465600 LDAP: (192.168.1.99:41364)(0x0002:0x63) Sending search result entry "cn=sma,o=FIRE" to connection 0x43df09a0
    17:44:10 42465600 LDAP: (192.168.1.99:41364)(0x0002:0x63) Sending operation result 0:"":"" to connection 0x43df09a0
    17:44:10 42441560 LDAP: (192.168.1.99:41363)(0x0001:0x60) Sending operation result 0:"":"" to connection 0x43df07e0
    17:44:10 42441560 LDAP: (192.168.1.99:41363)(0x0002:0x63) DoSearch on connection 0x43df07e0
    17:44:10 42441560 LDAP: (192.168.1.99:41363)(0x0002:0x63) Search request:
       base: ""
       scope:2 dereference:0 sizelimit:0 timelimit:0 attrsonly:0
       filter: "(cn=sma)"
       attribute: "groupMembership"
    17:44:10 42441560 LDAP: (192.168.1.99:41363)(0x0002:0x63) Sending search result entry "cn=sma,o=FIRE" to connection 0x43df07e0
    17:44:10 42441560 LDAP: (192.168.1.99:41363)(0x0002:0x63) Sending operation result 0:"":"" to connection 0x43df07e0
    17:44:10 42441560 LDAP: (192.168.1.99:41364)(0x0003:0x42) DoUnbind on connection 0x43df09a0
    17:44:10 42441560 LDAP: Connection 0x43df09a0 closed
    17:44:10 42441560 LDAP: (192.168.1.99:41363)(0x0003:0x42) DoUnbind on connection 0x43df07e0
    17:44:10 42441560 LDAP: Connection 0x43df07e0 closed

    Seems to be OK, but It look for the GroupMembership attribute and I did not set anything about that ???

    Is there something special to set ?

    Thanks
Children
  • 0 in reply to smaertchik
    Hhm,
    looks good so far....
    SSO Authentication for Astaro means they search the LDAP Tree for the IP Number of the client in every User Object, if this fails they use Normal Authentication...

    You should check if the IP Number is stored in the User Object
    under "networkAddress" (eg.: "31 23 C0 A8 01 01" - A longer Hex value means you are connected via IPX) 

    Maybe for testing you should define a group (e.g.: ASG_HTTP) and add your user. Check if the user is in this group on your Ldap Server (groupMembership cn=ASG_HTTP,o=fire) and add this group to Container-Based Access Control under HTTP "cn=ASG_HTTP,o=fire"

    cu SveN
  • 0 in reply to SveN_01
    Hello Sven,

    Thanks for your answers.

    I double check the network address and the group membership within LDAP Browser and it's ok.

    Actually, the Policy Control works, because once I'm authenticated I cannot access any web site if I am in the restricted policy group, and I can go everywhere if I am in the unrestricted policy group.

    I cannot understand what's going wrong ?

    Thanks
  • 0 in reply to smaertchik
    Hi,
    huuu.... now this is getting strange. 
    My last idea:
    Have you check that the SSO bind user you use 
    has read access to the complete LDAP tree?

    cu SveN
  • 0 in reply to SveN_01
    Hi,

    I did new tests:
    - I created a new user and updated the SSO Bind user accordingly.
    - The new user "astaroldap" can browse the whole tree with LDAP Browser.

    But when I looked at the LDAP trace, when I launch IE6 from the WS , there is no LDAP request from the SSO Bind user on the Astaro Gateway. I can only see the ldap request from the user login in IE6  ?

    It seems there is something wrong in my setup .. any idea ???

    I have only set the eDirectory Authentication, do I need to set LDAP authentication ?


    thanks
  • 0 in reply to smaertchik
    Only eDirectory Authentication is correct, you don't need LDAP Authentication.

    Can you post a screenshot of your current eDirectory Settings?
  • 0 in reply to SveN_01
    I just realized that my Astaro Gateway has only one network card for testing purpose.

    Don't you think this could be a problem ?


    Please give me your email address through the private mail so I can send you the screen shots of my config.

    Thanks
  • 0 in reply to smaertchik
    Eventually with your help Sven I could find my mistake:

    I was missing the Proxies-HTTP-Operation Mode to "eDirectory SSO".

    And now it works fine.

    Thanks