Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 1 subscriber
  • Views 6604 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Active directory SSO

rommel74
We are in the process of implementing an Astaro Web proxy for one of our clients and have managed to get AD SSO authentication working to some extent however I'm facing the following issue:

Whenever the backend (AD) group membership changes the Astaro does not know about it untill the Astaro is rebooted. It seems to only talk to AD during bootup and not on every access request. This is clearly not acceptable as the web proxy can not be rebooted every time a new user is given access or if we want to restrict access for a particular user.

Has anyone encountered this problem?


This thread was automatically locked due to age.
  • 0 in reply to BangkokBob
    Hmm, strange when I check the release notes at http://up2date.astaro.com looks like this was updated:

    Fix [8184]: Cache for HTTP Proxy AD SSO not updating sometimes
  • 0 in reply to Cath
    Our Astaro is running 7.301 and the problem exists.
  • 0 in reply to rommel74
    Hi Guys,

    i found a solution:
    There are two important things to do / to remember.
    First: for me only one ProxyProfile is working, i dont know why but only one ProxyProfile works.
    Second: in the Users --> Groups Tab you must not use the AD-Browser for assigning AD-SSO Backendmembership.

    So, first enable AD-SSO in the Users --> Authentication Tab
    Then go to Users --> Groups, Click "New group", name the Group corresponding to your AD-Group, in the "Active Directory Groups"-Field hit the Plus-Sign and simply enter the Name of your AD-Group (not! the LDAP-Path like CN=,OU= etc.). This is important, the result of the AD-Browser is'nt working here.
    Do this twice (for different groups) if you want two rightslevels like in my example.

    Then go to Web-Security --> HTTP-Profiles, go to Filter Actions
    if you want, like in my case, a NormalUser Group with minor rights and a SuperUser Group with more rights do the following.
    Create an ActionFilter for example "NormalUserAction"
    Mode: Blacklist
    Blocked SP Categories: 
    Spyware, Anti-Virus etc: 

    then create a second ActionFilter "SuperUserAction"
    Mode: Blacklist
    Blocked SP Categories etc: 

    create a third ActionFilter "DenyAllAction"
    Mode: Whitelist
    Allowed things ... etc: allow nothing!

    Go to Http_Profiles --> Filter Assignments

    Create an Assignment "NormalUserFilter"
    Add your AD-Groups via the Plus-Sign
    Choose your TimeEvent
    Select the NormalUserAction FilterAction in "Filter Action"
    Save

    Do the same with the SuperUserFilter and SuperUserAction

    Then go to HTTP-Profiles --> Proxy Profiles

    Create a Profile for example "Profile01"

    Choose your Source-Networks
    Select the "NormalUserFilter" AND the "SuperUserFilter" in the Filter Assignments Window.
    Fallback action: DenyAllAction
    Operation Mode: Active Directory SSO.
    Hit Save.

    This is a working AD-SSO Configuration with 2 Filters for Normal- and Superusers. If a User isnt in any of the defined AD-Groups he has no Internetaccess via the Proxy.
    This is a working configuration for me.

    Hope this helps.
    Greetings 
    Thomas
  • 0 in reply to LoosInt
    Thank you, Thomas.  That's the type of documentation that is missing with the Astaro - how to accomplish something.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Thank You Thomas

    This is working for me as well.

    Adrian
  • 0 in reply to kienerwittlin
    This worked for me as well, thank you!. There is still one strange issue however:

    - Web reporting does not show all users, although the log file does


    Any suggestions?
  • 0 in reply to BAlfson
    Any news with this issue?

    I have one machine with AD-SSO for proxy authentication and users are only recognized after reboot

    Version is 7.401

    I've tried with only the group name instead of the whole group DN from the AD browser in pre-7.4 because of the known Samba bug. I've tested both schemes in 7.4+!

    So what is the problem?

    I cannot test with webadmin or at the console in which groups users are. I am not able to convert these numbering stuff from wbinfo into group names.