Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 1483 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

AD Auth, Different Groups, Same Subnets

Marshall
All,
Hopefully someone can point me in the right direction here.  I'm on 7.009

I'm linked up to AD, I have all the groups configured and coordinated to the correct AD Groups.  I have a Full Access Group and a Partial Access Group (hope the names are self explanatory).  I've got basically an Allow All Filter Action and Filter Assignment to the Full Access Group and a Block All except a few sites Action and Filter Assignment for the Partial Access Group.

My problem is, they are on the same subnet.  If I make my AD account a member of the Full Access AD group then I should be able to browse anything I want to, however, the Partial Access Filter is blocking me.  In the documentation it says to apply different filters to different subnets.  Well, flinging out another subnet is really not ideal.  So, hopefully someone else has done this and can point me in the right direction.

If you need more info let me know.  But I'm sure everything is correct down to the "Proxy Profiles" tab is where I think I'm getting in trouble...

Thanks in advance


This thread was automatically locked due to age.
Parents
  • 0
    I've the same problem, i try to put only one proxy profile and the put in the order the rules much restrict and the the other
    Sometimes works sometimes not work.
    I need also some info to resolve.
    I've firmware 7.011

    Regards
    Mark
  • 0 in reply to marco.colombo@epromcad.it
    Here is a line out of the authentication live log.  Obviously srcip and user name have been changed to protect the innocent[:)]

    2007:10:25-11:24:46 (none) aua[1962]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="192.168.1.6" user="marshall" caller="http" reason="DENIED"
  • 0 in reply to Marshall
    Hi there, 

    you need to create a proxy profile for the subnet.

    You can use the filter assignments to map groups to their different filter actions, even in the same subnet.
    Are you using AD or AD SSO?

    go to Web Security > HTTP Profiles:

    Proxy Profile
    ------------
    Subnet: 10.0.0.0/24
    Filter Assignments:
     - Partial Access Assignment
       - Users: Partial Access Group
       - Time Event: Always
       - Filter Action: Partial Access Action
     - Full Access Assignment
       - Users: Full Access Group
       - Time Event: Always
       - Filter Action: Full Access Action
    Fallback action: Block all
    Operation Mode: Basic Authentication


    The Fallback action if used, if an authenticated user did not match a single filter assignment.

    I hope that makes it easier to understand.

    If you get an authentication failed from our authentication framework, i assume you are using basic authentication, than it means that the user credentials were not ok. This can be because you do not have configured the AD properly or the credentials you entered in the browser popup are wrong.

    If you post more details, either here or at the astaro support, we can help you.

    regards
    Gert
Reply
  • 0 in reply to Marshall
    Hi there, 

    you need to create a proxy profile for the subnet.

    You can use the filter assignments to map groups to their different filter actions, even in the same subnet.
    Are you using AD or AD SSO?

    go to Web Security > HTTP Profiles:

    Proxy Profile
    ------------
    Subnet: 10.0.0.0/24
    Filter Assignments:
     - Partial Access Assignment
       - Users: Partial Access Group
       - Time Event: Always
       - Filter Action: Partial Access Action
     - Full Access Assignment
       - Users: Full Access Group
       - Time Event: Always
       - Filter Action: Full Access Action
    Fallback action: Block all
    Operation Mode: Basic Authentication


    The Fallback action if used, if an authenticated user did not match a single filter assignment.

    I hope that makes it easier to understand.

    If you get an authentication failed from our authentication framework, i assume you are using basic authentication, than it means that the user credentials were not ok. This can be because you do not have configured the AD properly or the credentials you entered in the browser popup are wrong.

    If you post more details, either here or at the astaro support, we can help you.

    regards
    Gert
Children
  • 0 in reply to Gert Hansen
    Gert, thanks for the response.  Yes I'm using Basic Authentication AD not AD SSO.  It's not a problem with the credentials I'm supplying when I try to log in because I'm using my AD credentials (which I have already logged in to the AD Domain with and are also a member of the correct AD Group).  I've read in a couple other posts that to use AD SSO the firewall and the AD Server have to be in the same broadcast domain, is that the case with simple AD Authentication?

    There is a Proxy Profile for this subnet, pointed to the correct Filter Assignments and Filter Actions.

    All of this seems to be set up correctly.  Which makes me wonder if my Bind User DN is set correctly.  Here is the string I have entered (slightly modified to protect identities)
    cn=adservices,ou=service,ou=adadmins,ou=org,dc=net,dc=work,dc=com

    "service" and "adadmins" are non-standard organizational units(signified by a  folder / book icon).  I believe I have it correct, but if you could tell me if any of the string is CaSe SeNsItIvE that would help.

    Any help is greatly appreciated!
  • 0 in reply to Marshall
    Hi Marshall, 

    unfortunatly i don't know if these attributes are case sensitive out of my head. 

    But if you are able to access the SSH shell and type the following below (changing the command to your edir ip address and port, you can check which Bind DN will work, than please use that one.


    iptables -I OUTPUT -p tcp --dport 389 -j ACCEPT
    ldapsearch -H "ldap://10.2.2.2:389" -x -D "cn=adservices,ou=service,ou=adadmins,ou=org,dc=net ,dc=work,dc=com" -w "password" "cn=adservices" *


    i hope that helps, 
    Gert
  • 0 in reply to Gert Hansen
    I'll be testing that this afternoon.  Thanks for the quick responses.  I'll post back in the morning.
  • 0 in reply to Marshall
    so I got the ldapsearch to work and it returns all the user info.  But I am still getting this in my user authentication daemon log:

    2007:10:26-10:56:24 (none) aua[28857]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="192.168.1.6" user="marshall" caller="http" reason="DENIED"
  • 0 in reply to Marshall
    FINALLY!  I got it working!  Ended up having to use LDAP Authentication instead of Active Directory.  It's still searching against my AD server so I don't really understand...but it's all good.

    Next question (I'll do a search through the forums in a minute to see if anyone else is having this issue) I have a default block all sites except specific sites in a whitelist.  Some of the sites work, but some of them give me a blacklist expression error even though they are on the whitelist.  Any ideas?
  • 0 in reply to Marshall
    I use instead the AD and so the AD SSO.
    the proxy profiles must be configured with the group:
    weball:no restrict
    weblimited[:$]nly some site
    winupdate[:$]nly winupdate

    But some some times the proxy go crazy and block all traffic.
    I've only one subnet. What is the best way to do the configuration of the proxy profiles?
    The only things that i'm sure that works is that the Default fall back action (HTTP).
    Another question...
    in the default fall back action i must put the SSO or i can leave in a standard mode ?
    in this profile the firewall is configured to go only to Winupdate and Corporate site.
    The client with the proxy on still works ?

    Regards and many thanksssssss

    mark