V7.303 with EDir-SSO: Authentication failed

What does the Netware Server say?

With Netware everything seems to be o.k.

Even when testing settings netware user name and password in astaro webmin, User, Authentication, E-Directory, I get the answer: Authentication test passed.

Same thing is happening to me. Use EDirSSO and just upgraded to V7.303

Getting Authentication Failed for most of my users. Haven't tried rebooting but will try shortly.

Called Astaro support 2 hours ago and still no response [:(]

Please try to restart the proxy and send me the logfiles for the aua.

Which ticket-ID did you receive?

Best regards,

Dominic Schmidl

2008:10:20-16:53:30 (none) aua[6318]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="10.130.1.198" user="10.130.1.198" caller="http" reason="DENIED"
2008:10:20-16:53:33 (none) aua[6326]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="10.130.1.198" user="10.130.1.198" caller="http" reason="DENIED"
2008:10:20-16:53:35 (none) aua[6327]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="10.130.1.198" user="10.130.1.198" caller="http" reason="DENIED"
2008:10:20-16:53:37 (none) aua[6328]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="10.130.1.198" user="10.130.1.198" caller="http" reason="DENIED"
2008:10:20-16:54:00 (none) aua_edir_sync[4532]: id="3006" severity="info" sys="System" sub="auth" name="search for context 'o=Astaro' returned 0 results"
2008:10:20-16:54:01 (none) aua_edir_sync[4532]: id="3006" severity="info" sys="System" sub="auth" name="search for context 'o=Haiger' returned 0 results"
2008:10:20-16:54:01 (none) aua_edir_sync[4532]: id="3006" severity="info" sys="System" sub="auth" name="search for context 'o=Herborn' returned 2 results"
2008:10:20-16:54:01 (none) aua_edir_sync[4532]: id="3006" severity="info" sys="System" sub="auth" name="search for context 'o=Dbg' returned 1 results"
2008:10:20-16:54:01 (none) aua_edir_sync[4532]: id="3006" severity="info" sys="System" sub="auth" name="search for context 'o=Admins' returned 1 results"
2008:10:20-16:54:01 (none) aua_edir_sync[4532]: id="3006" severity="info" sys="System" sub="auth" name="search for context 'o=WZ' returned 2 results"
2008:10:20-16:54:01 (none) aua_edir_sync[4532]: id="3006" severity="info" sys="System" sub="auth" name="Sync complete at 1224514441, took 1s"
2008:10:20-16:54:12 (none) aua[6351]: id="3004" severity="info" sys="System" sub="auth" name="Authentication successful" srcip="10.130.23.36" user="mbremer" caller="http" engine="edirectory-sso"
2008:10:20-16:54:14 (none) aua[6352]: id="3004" severity="info" sys="System" sub="auth" name="Authentication successful" srcip="10.130.1.115" user="ngrygar" caller="http" engine="edirectory-sso"
2008:10:20-16:54:35 (none) aua[6365]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="10.130.1.198" user="10.130.1.198" caller="http" reason="DENIED"
2008:10:20-16:54:38 (none) aua[6366]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="10.130.1.198" user="10.130.1.198" caller="http" reason="DENIED"

Ticket ID: 2008102010000848

I just tried restarting and its still doing the same thing. Same as the other guy too - authentication tests all pass.

Here's the AUA log.

I am having the same AUA issues with our Astaro 320. A restart is about a 3-4 hour fix.

Okay, seems to be an Astaro Problem...
could anyone post a dstrace?

On the console of the netware machine:

set dstrace=off

set dstrace=+ldap

set dstrace=on

dstrace

Dstrace attached. The internal ip of our astaro is 10.1.1.180.

Its worth noting that this server handles all our LDAP authentication for Cisco Wireless, NAC, Adobe Contribute, Apache LDAP Auth, Radius, etc. and they all seem to be functioning without issue....

On hold with Astaro now.  Hope to get help soon.  I am not even able to restore 7.302! [:@]

Just a bit of information for those having this issue. The issue is, according to Astaro Support, that after a short period of time the max is reached for connections to the web proxy authentication mechanism and it stops accepting new authentication attempts. That's why the reboot fixes it - its clears that out.

For my situation this is not the case, my EDir-SSO cache is empty (its not synching) and for each user it tries to authenticate it does an IP lookup and the answer is always NO. So it fails - doesn't even prompt. Basic Auth works fine.

These are very general explanations but basically the two current issues with EDirSSO and this current firmware.

Here are the two options Astaro just emailed me...

Roll back to 7.302 using a USB CDrom drive and a backup or...

you can also log into SSH and alter your httpproxy.ini file.  Please only run
these commands

login with loginuser
su
(enter root password)
joe /var/chroot-http/etc/httpproxy.ini
(context given)
[...]

[aua]
port=15723
addr=127.0.0.1
ttl=360
size=2048
timeout=15
connlimit=512 

Here are the two options Astaro just emailed me...

Roll back to 7.302 using a USB CDrom drive and a backup or...

you can also log into SSH and alter your httpproxy.ini file.  Please only run
these commands

login with loginuser
su
(enter root password)
joe /var/chroot-http/etc/httpproxy.ini
(context given)
[...]

[aua]
port=15723
addr=127.0.0.1
ttl=360
size=2048
timeout=15
connlimit=512 

We are working on an issue impacting some 7.303 users with eDirectory authentication, the symptoms are that non-SSO clients or clients without the Novell client installed do not get the login popup, instead they just get an authentication failure page.

If you have support, please open a case and provide us login information with the ticket if possible.

As mentioned above, there is also a connection limit issue we have seen in some systems, the workaround above should address that.

Jack

We have the Novell client with SSO configured and still get the error message...fyi

@Kingbuzzo have you tried the connection limit edit mentioned above and restarted the HTTP proxy?  If so, can you PM me login info so I can take a look?

Thanks
Jack

No, this system is in production and I'm too chicken to try it - I only tried the firmware in the first place because the new content filter is generating tons of tickets for me for incorrect classifications.

I will just keep rebooting it until a new firmware comes-out.

Let me know if there is anything I can do.

The connection limit bump is pretty painless, I can do it for you if you want.  PM me if you would like me to jump in.

Jack

Hi, 
after increasing the connlimit value everything is o.k.

I increased the connlimit yesterday afternoon, and it seemed to work fine for a while.... However, I just had to restart the Astaro box because of the same AUA error

Restart again..same error message in the Content Filter (HTTP) log

2008:10:21-15:13:52 (none) httpproxy[3902]: [ 0x84c0900] edir_auth (auth_edir.c:59) max number of aua connections reached
2008:10:21-15:13:52 (none) httpproxy[3902]: [ 0x846cf18] edir_auth (auth_edir.c:59) max number of aua connections reached
2008:10:21-15:13:52 (none) httpproxy[3902]: [ 0x850b880] edir_auth (auth_edir.c:59) max number of aua connections reached

Restarting the Astaro will reload the config, the connlimit is probably back down to 512 now- and needs to be raised again.

Does the connlimit automatically reset to 512 following a restart?