A possible solution to Astaro's SSO AD shortcomings

Likewise Open Source Software that Authenticates Linux, Unix, and Mac systems with Microsoft Active Directory

This would allow astaro to fully integrate with AD and be truly SSO capable. It's gpl 3 to boot so it's truly free..[:)]

Could you describe in a few words what Astaro's shortcomings are? Will consider that information for future versions.

Cheers,

Sven.

I know from earlier threads that AD SSO used to be quirky, so I had avoided it in the past.  Recent reports were that it works fine.  I'm cooling my heels waiting for my wife to get ready, so I just tried it on our setup at work.

Perfect!

My only complaint is with the documentation.  The importance of the 'Base DN' assignment is not clarified.  I was frustrated that I had to create new groups in my AD 'Users' group instead of being able to use other groups we already had in place.  Of course, all I had to do was decrease the specificity of the Base DN, but it had been so long ago that I set up AD Authentication, I had forgotten it was there.

Cheers - Bob

When you join the domain if you create a member on the AD server that information is NOT passed to the astaro.  The Astaro will not automatically create users in concert with the AD server.  If i am wrong let me know but i have one astaro connected to AD and it doesn't auto populate users.  I was told in an earlier thread this is by design and it is not an astaro issue hence my sugestion above.

I created a user 'Testy' and a group 'Test' in AD and added 'Testy' to 'Test'.

On the Astaro, I configured prefetch with the AD group 'Test', opened the prefetch live log and kicked off a 'Prefetch now'.  I watched as 'Testy' was added.  In the User list, 'Testy' appeared along with the email address I created for him in AD.

Are you talking about something different?

Cheers - Bob

yes i am talking about the http proxy active directory integration as i don't use prefetch.

Have you tried checking 'Create users automatically' on the 'Global' tab of 'Users >> Authentication'?  I know that the User Portal and whitelists don't work if that's not checked, even with prefetch active.

Cheers - Bob

Have you tried checking 'Create users automatically' on the 'Global' tab of 'Users >> Authentication'?  I know that the User Portal and whitelists don't work if that's not checked, even with prefetch active.

Cheers - Bob

nod..since the latest updates though i'll blow it out and redo it from sctrach as some fields have changed.  Once that's been added is the base DN field in the active directory area...what is that?  The manual doesn't explain that one.

The Base DN is how far into the AD you can go.

My bind user is:
“CN=bob2,OU=SBSUsers,OU=Users,OU=MyBusiness,DC=Ourdomain,DC=local”

Originally, my Base DN was:
“OU=SBSUsers,OU=Users,OU=MyBusiness,DC=Ourdomain,DC=local”

That didn't let me get to the groups already defined in our AD.  Now, my Base DN is:
“OU=MyBusiness,DC=Ourdomain,DC=local”

You've been doing this a long time, William.  I'd be interested in what issues you find with Astaro SSO after you redo from scratch.

Cheers - Bob

ok i must be missing something simple.

My username is William, I'm in the users container and then there's .local.

here's what i have in the base dn box:
CN=William,CN=Users,DC=,DC=Local
I then have my password in the correct fields...what should hte base DN be?  I keep getting:

Server exists and accepts connections, but bind to ldap://:389 failed with this Bind DN and Password

ok i must be missing something simple.

My username is William, I'm in the users container and then there's .local.

here's what i have in the base dn box:
CN=William,CN=Users,DC=,DC=Local
I then have my password in the correct fields...what should hte base DN be?  I keep getting:

Server exists and accepts connections, but bind to ldap://:389 failed with this Bind DN and Password

Send me an email, BAlfson at MediaSoftUSA dot com, and I'll send you the document I recently wrote to help clients set up the User Portal with AD.  It describes what you need.  I'm just asking that you critique the document to help me improve it.

Thanks - Bob

Bind User DN:
 
 Bind User Password:
 
 Repeat:
 
  
  Test Server  
 
 Base DN:
 

This form configures Active Directory authentication. You need to specify at least Server and Port. 


so what goes in the base dn section?  I'm pretty sure i ahve the user dn setup right..

I didn't receive an email.  Here's an extract from my document:

I. Determine from Windows Server the DN for the binding user and for the Base DN

If you pick a user with administrative rights, you will be able to configure either or both LDAP and AD.  You will need the full, exact Distinguished Name (DN) for the Astaro to be able to work with AD or LDAP services.

Open a Command Prompt on the server running the AD services.  In my case, I have a separate login for me when I want to be an administrator, bob2, so I ran the following command:

dsquery user –name b*

Among the responses was the one I was looking for:

“CN=bob2,OU=SBSUsers,OU=Users,OU=MyBusiness,DC=Ourdomain,DC=local”

Because I want to be able to use pre-existing AD groups to fine-tune the HTTP Proxy and to limit use of the Portal to select users, I’ll set the Base DN for my AD as:

“OU=MyBusiness,DC=Ourdomain,DC=local”

Cheers - Bob

I'm having the same issue.  My user is in the Default Users Group but when I click "Test Sever" I get the error message.

Server exists and accepts connections, but bin to ldaps://[serverip] failed with Bind DN and password.

I know the password is correct.

Bind User DN:  CN=A****,OU=Users,DC=[domain],DC=local

Base DN: DC=[domain],DC=local

Before you hit [Test Server], you must press [Apply].

I made that mistake several times before I figured out they thought nobody could be so foolish...

Cheers - Bob

BAlfson,
I used your method as outlined in #13 and it worked a real treat for me. It was almost identical as your example was for a SBS AD which is what I run.
Thanks, that took the headache out of configuring AD for Astaro.