Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 38 replies
  • Subscribers 1 subscriber
  • Views 18085 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

V7.303 with EDir-SSO: Authentication failed

Markus S.
Hi,

nearly every 3 hours I have to restart my ASG, because every user will get the message: Authentication Failed.

Since updated to V7.303 on last friday we had no problems with backend user authentication to Novell eDirectory.

Any hints?

Markus


This thread was automatically locked due to age.
Parents
  • 0
    What does the Netware Server say?
  • 0 in reply to SveN_01
    With Netware everything seems to be o.k.

    Even when testing settings netware user name and password in astaro webmin, User, Authentication, E-Directory, I get the answer: Authentication test passed.
  • 0 in reply to Markus S.
    Hi Marcus,

    please post the loglines of your authentication logfile!

    Thx
    Dominic
  • 0 in reply to dschmidl
    Same thing is happening to me. Use EDirSSO and just upgraded to V7.303

    Getting Authentication Failed for most of my users. Haven't tried rebooting but will try shortly.

    Called Astaro support 2 hours ago and still no response [:(]
  • 0 in reply to dspender
    Please try to restart the proxy and send me the logfiles for the aua.

    Which ticket-ID did you receive?

    Best regards,

    Dominic Schmidl
  • 0 in reply to dschmidl
    2008:10:20-16:53:30 (none) aua[6318]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="10.130.1.198" user="10.130.1.198" caller="http" reason="DENIED"
    2008:10:20-16:53:33 (none) aua[6326]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="10.130.1.198" user="10.130.1.198" caller="http" reason="DENIED"
    2008:10:20-16:53:35 (none) aua[6327]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="10.130.1.198" user="10.130.1.198" caller="http" reason="DENIED"
    2008:10:20-16:53:37 (none) aua[6328]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="10.130.1.198" user="10.130.1.198" caller="http" reason="DENIED"
    2008:10:20-16:54:00 (none) aua_edir_sync[4532]: id="3006" severity="info" sys="System" sub="auth" name="search for context 'o=Astaro' returned 0 results"
    2008:10:20-16:54:01 (none) aua_edir_sync[4532]: id="3006" severity="info" sys="System" sub="auth" name="search for context 'o=Haiger' returned 0 results"
    2008:10:20-16:54:01 (none) aua_edir_sync[4532]: id="3006" severity="info" sys="System" sub="auth" name="search for context 'o=Herborn' returned 2 results"
    2008:10:20-16:54:01 (none) aua_edir_sync[4532]: id="3006" severity="info" sys="System" sub="auth" name="search for context 'o=Dbg' returned 1 results"
    2008:10:20-16:54:01 (none) aua_edir_sync[4532]: id="3006" severity="info" sys="System" sub="auth" name="search for context 'o=Admins' returned 1 results"
    2008:10:20-16:54:01 (none) aua_edir_sync[4532]: id="3006" severity="info" sys="System" sub="auth" name="search for context 'o=WZ' returned 2 results"
    2008:10:20-16:54:01 (none) aua_edir_sync[4532]: id="3006" severity="info" sys="System" sub="auth" name="Sync complete at 1224514441, took 1s"
    2008:10:20-16:54:12 (none) aua[6351]: id="3004" severity="info" sys="System" sub="auth" name="Authentication successful" srcip="10.130.23.36" user="mbremer" caller="http" engine="edirectory-sso"
    2008:10:20-16:54:14 (none) aua[6352]: id="3004" severity="info" sys="System" sub="auth" name="Authentication successful" srcip="10.130.1.115" user="ngrygar" caller="http" engine="edirectory-sso"
    2008:10:20-16:54:35 (none) aua[6365]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="10.130.1.198" user="10.130.1.198" caller="http" reason="DENIED"
    2008:10:20-16:54:38 (none) aua[6366]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="10.130.1.198" user="10.130.1.198" caller="http" reason="DENIED"
  • 0 in reply to dschmidl
    Ticket ID: 2008102010000848

    I just tried restarting and its still doing the same thing. Same as the other guy too - authentication tests all pass.

    Here's the AUA log.
    aualog.zip
  • 0 in reply to dspender
    I am having the same AUA issues with our Astaro 320. A restart is about a 3-4 hour fix.
  • 0 in reply to benneta
    Okay, seems to be an Astaro Problem...
    could anyone post a dstrace?

    On the console of the netware machine: 
    set dstrace=off

    set dstrace=+ldap

    set dstrace=on

    dstrace
Reply Children
  • 0 in reply to SveN_01
    Dstrace attached. The internal ip of our astaro is 10.1.1.180.

    Its worth noting that this server handles all our LDAP authentication for Cisco Wireless, NAC, Adobe Contribute, Apache LDAP Auth, Radius, etc. and they all seem to be functioning without issue....
    DSTRACE.zip
  • 0 in reply to SveN_01
    On hold with Astaro now.  Hope to get help soon.  I am not even able to restore 7.302! [:@]
  • 0 in reply to dspender
    Just a bit of information for those having this issue. The issue is, according to Astaro Support, that after a short period of time the max is reached for connections to the web proxy authentication mechanism and it stops accepting new authentication attempts. That's why the reboot fixes it - its clears that out.

    For my situation this is not the case, my EDir-SSO cache is empty (its not synching) and for each user it tries to authenticate it does an IP lookup and the answer is always NO. So it fails - doesn't even prompt. Basic Auth works fine.

    These are very general explanations but basically the two current issues with EDirSSO and this current firmware.
  • 0 in reply to dspender
    Here are the two options Astaro just emailed me...

    Roll back to 7.302 using a USB CDrom drive and a backup or...

    you can also log into SSH and alter your httpproxy.ini file.  Please only run
    these commands

    login with loginuser
    su
    (enter root password)
    joe /var/chroot-http/etc/httpproxy.ini
    (context given)
    [...]

    [aua]
    port=15723
    addr=127.0.0.1
    ttl=360
    size=2048
    timeout=15
    connlimit=512 
  • 0 in reply to benneta
    We are working on an issue impacting some 7.303 users with eDirectory authentication, the symptoms are that non-SSO clients or clients without the Novell client installed do not get the login popup, instead they just get an authentication failure page.

    If you have support, please open a case and provide us login information with the ticket if possible.

    As mentioned above, there is also a connection limit issue we have seen in some systems, the workaround above should address that.

    Jack
  • 0 in reply to Jack Daniel
    We have the Novell client with SSO configured and still get the error message...fyi
  • 0 in reply to Kingbuzzo
    @Kingbuzzo have you tried the connection limit edit mentioned above and restarted the HTTP proxy?  If so, can you PM me login info so I can take a look?

    Thanks
    Jack
  • 0 in reply to Jack Daniel
    No, this system is in production and I'm too chicken to try it - I only tried the firmware in the first place because the new content filter is generating tons of tickets for me for incorrect classifications.

    I will just keep rebooting it until a new firmware comes-out.

    Let me know if there is anything I can do.
  • 0 in reply to Kingbuzzo
    The connection limit bump is pretty painless, I can do it for you if you want.  PM me if you would like me to jump in.

    Jack
  • 0 in reply to benneta
    Hi, 
    after increasing the connlimit value everything is o.k.