Active directory SSO

I've noticed that if we have multiple AD groups and change a user between groups, we don't the access change until Astaro reboots.  I'd be interested to see Astaro's statement as to how these things are managed.

Hi,

I've noticed that if we have multiple AD groups and change a user between groups, we don't the access change until Astaro reboots.  I'd be interested to see Astaro's statement as to how these things are managed.

that's a known issue here - The samba guys have disabled cache expiry in winbindd for unknown reasons, at least i was unable to find a statement why this has been done in their SCM.

We have a fix for that issue, which works well on several customer, it is scheduled for ASG V7.301 (which may change). If you have a Support Subscription and are in urgent need of a fix please contact Astaro Support.

Cheers,

Sven.

Hi,

same Problem here.... any comments from Astaro ?

>When in Web Profiles, whilst we can successfully use the profile that a user exists in, the >filter which should be applied never works.  We always end up being assigned the default >profile.  If we use the same user without SSO, ie standard, they get the correct filter >assignment.
Ah, we have V7.301 :-)


Thanks 
Greetings
Thomas

Hi,

same problem, no idea !
No Filter Assignments with AD SSO Group or User works, with standard authenitcation everything is fine. We are waiting for an answer from our Astaro Partner.

Sorry
Greetings
Daniel

I've also updated in to 7.302 in the hope that it will resolve AD issues but the problems continue. 

Utilising the newly added test buttons (v7.3) in the AD setup all the authentication tests pass. I can add in AD groups via the AD browser and prefetch data. Works good.

However,
Non of the filters work, the AD groups are simply ignored and the default filter action is used all the time.
I ran a packet capture using network monitor on the AD server that the Astaro binds to and found that the Astaro never queries AD when starting a browser session or when logging on to a PC. The only time I seen any LDAP queries were during the user authentication on the AD setup page. The authentication logs on the astaro are also only updated when the account test funciton is used.
Clearly there is a bug here.

Oh well 24 days left on the ASG web appliance trial, hopefully Astaro can come up with a fix. I think there is definetly some improvment here with the added test functions and the ability to browse AD but I just want the damn thing to work. It is making me look bad in my managers eyes as I've wasted so much time trying to debug this thing.

BangkokBob and Rommel74, Did you try the fix Sven mentioned above?

Cheers - Bob

No, I thought I would wait until 7.301, however from the readme it is not fixed.

Hmm, strange when I check the release notes at http://up2date.astaro.com looks like this was updated:

Fix [8184]: Cache for HTTP Proxy AD SSO not updating sometimes

Our Astaro is running 7.301 and the problem exists.

Hi Guys,

i found a solution:
There are two important things to do / to remember.
First: for me only one ProxyProfile is working, i dont know why but only one ProxyProfile works.
Second: in the Users --> Groups Tab you must not use the AD-Browser for assigning AD-SSO Backendmembership.

So, first enable AD-SSO in the Users --> Authentication Tab
Then go to Users --> Groups, Click "New group", name the Group corresponding to your AD-Group, in the "Active Directory Groups"-Field hit the Plus-Sign and simply enter the Name of your AD-Group (not! the LDAP-Path like CN=,OU= etc.). This is important, the result of the AD-Browser is'nt working here.
Do this twice (for different groups) if you want two rightslevels like in my example.

Then go to Web-Security --> HTTP-Profiles, go to Filter Actions
if you want, like in my case, a NormalUser Group with minor rights and a SuperUser Group with more rights do the following.
Create an ActionFilter for example "NormalUserAction"
Mode: Blacklist
Blocked SP Categories: 
Spyware, Anti-Virus etc: 

then create a second ActionFilter "SuperUserAction"
Mode: Blacklist
Blocked SP Categories etc: 

create a third ActionFilter "DenyAllAction"
Mode: Whitelist
Allowed things ... etc: allow nothing!

Go to Http_Profiles --> Filter Assignments

Create an Assignment "NormalUserFilter"
Add your AD-Groups via the Plus-Sign
Choose your TimeEvent
Select the NormalUserAction FilterAction in "Filter Action"
Save

Do the same with the SuperUserFilter and SuperUserAction

Then go to HTTP-Profiles --> Proxy Profiles

Create a Profile for example "Profile01"

Choose your Source-Networks
Select the "NormalUserFilter" AND the "SuperUserFilter" in the Filter Assignments Window.
Fallback action: DenyAllAction
Operation Mode: Active Directory SSO.
Hit Save.

This is a working AD-SSO Configuration with 2 Filters for Normal- and Superusers. If a User isnt in any of the defined AD-Groups he has no Internetaccess via the Proxy.
This is a working configuration for me.

Hope this helps.
Greetings 
Thomas

Thank you, Thomas.  That's the type of documentation that is missing with the Astaro - how to accomplish something.

Cheers - Bob

Thank You Thomas

This is working for me as well.

Adrian

Thank You Thomas

This is working for me as well.

Adrian

This worked for me as well, thank you!. There is still one strange issue however:

- Web reporting does not show all users, although the log file does


Any suggestions?