Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 1 reply
  • Subscribers 1 subscriber
  • Views 2684 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Authenticate users against multiple separate AD domains

Momohteks
Hi folks,

We are trying to setup our astaro Web gateway to act as a parent proxy for two different customers, with two separate AD directories.

For one of them, I created a HTTP/S profile with SSO Ad auth mechanism, everything is working well, users are authenticated without user/pass prompt.

As there can be only one AD SSO auth setup, i created a second HTTP/S profile with basic auth, and Activce Directory as backend server for authentication.

The problem is that users on the second AD Domain cannot be authenticated.
In auth logs i get the following :  

2009:12:22-13:37:21 AWG aua[4598]: id="3006" severity="info" sys="System" sub="auth" name="Trying 172.17.86.120 (adirectory)"

2009:12:22-13:37:21 AWG aua[4598]: id="3006" severity="info" sys="System" sub="auth" name="Trying 172.17.86.92 (adirectory)"

2009:12:22-13:37:21 AWG aua[4598]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="172.17.86.90" user="administrator" caller="http" reason="DENIED"


My questions are:
Can AWG handle auth on multiple separate AD Domains?
Is there a supported setup to achieve this?

Thank you for your help .


This thread was automatically locked due to age.
Parents
  • 0

    My questions are:
    Can AWG handle auth on multiple separate AD Domains?


    Yes, it can (prerequisite: ASG V7.5).

    You should sort the two authentications servers like this:
    top = server for domain2
    bottom= server for domain1 (which is normally authenticated by SSO)

    Ensure you have configured the correct base DNs and bind DNs in both authentication servers. 
    Have you been able to succcessfully test the authentication with the "test authnetication" button?
    How did you enter the username  in the Web browsers authentication popup - you should not use "domain2\username"  or "username@domain2.local",  just use "username".

    If all tests in the webadmin are ok but you still get authentication errors in aua.log, then the last chance is to enable debugging of AUA.

    Then you will see all ldap requests in cleartext, the repsonses from the AD  and the ASG´s decision to refuse authentication.

    AUA debugging can be enabled (and disabled again, don´t forget this as the debugging mode creates tons of logfiles!) on the command line with the command
    killall -USR2 aua.bin
Reply
  • 0

    My questions are:
    Can AWG handle auth on multiple separate AD Domains?


    Yes, it can (prerequisite: ASG V7.5).

    You should sort the two authentications servers like this:
    top = server for domain2
    bottom= server for domain1 (which is normally authenticated by SSO)

    Ensure you have configured the correct base DNs and bind DNs in both authentication servers. 
    Have you been able to succcessfully test the authentication with the "test authnetication" button?
    How did you enter the username  in the Web browsers authentication popup - you should not use "domain2\username"  or "username@domain2.local",  just use "username".

    If all tests in the webadmin are ok but you still get authentication errors in aua.log, then the last chance is to enable debugging of AUA.

    Then you will see all ldap requests in cleartext, the repsonses from the AD  and the ASG´s decision to refuse authentication.

    AUA debugging can be enabled (and disabled again, don´t forget this as the debugging mode creates tons of logfiles!) on the command line with the command
    killall -USR2 aua.bin
Children
No Data