E-Dir Authentication Problems (No Network Address)

We are seeing this at our location too.  What version of eDirectory are you running?

We just updated to the latest service pack for 8.8.5

Here are two edir tweaks which have helped a few users:

A) Novell eDirectory may fail to set the networkAddress attribute when users login – This happens primarily on edirectory on Linux, but can also happen on Netware. In this case, users may login to edirectory, but still be presented with an authentication popup. Checking the user attributes in edirectory, you will see that there is no networkAddress attribute set. The following steps can properly instruct eDirectory to set the networkAddress attribute for all users upon login. 

For OES Linux:
Create a file nmas.config in /var/opt/novell/eDirectory/data. The file only needs to contain the command “nmas LoginInfo 1” without quotes. File permissions should be 644.
Run “rcndsd restart” after creating the file. This will restart Novell Directory Services.

For Netware 6.5:
Issue the command “nmas LoginInfo 1” from the Server Console.
The command will need to be added near the end of the AUTOEXEC.NCF as well.
Unload / Reload DS.NLM after issuing the command. This will restart Directory Services.

More info on this setting: Disabling Login Update Attribute for NDS and NMAS Logins | Novell User Communities

B) Novell Edirectory may not properly clear networkAddress attributes when users log out – This may cause Astaro to mistakenly see more than one user logged in at the same IP address, causing users to be prompted for authentication when browsing the web. The following setting will cause edirectory to properly remove the networkAddress attribute for users who are no longer logged in.

Open a Linux Terminal as root on the OES2 Server and run 
 ncpcon set FIRST_WATCHDOG_PACKET=1

These steps involve modifying settings on your eDirectory server. While I do not believe these changes to be dangerous changes in any way, and I have seen these settings made in numerous customer environments without incident, I am not an eDirectory expert, and cannot absolutely guarantee that there will not be problems or side-effects from making the recommended changes. Standard precautionary steps are recommended, such as making sure you have current backups of the affected systems.

Thanks Alan, We'll definitely have to take a look at your suggestions.

What I think we're seeing, is two problems stacked on top of each other. Older PCs with older configurations in their Novell clients are much less reliable than newer clients on PCs that have been freshly imaged. The new PCs, however, are still not 100% on updating their network address field.

We also saw that all PCs will more reliably update the network address field when they connect directly to an OES server, as opposed to connecting to a cluster resource. A ticket is open with Novell, and we will hopefully have a resolution soon. Until then, our proxy is running in Standard mode, and tracking is being done by IP address - hopefully noone wants a web browsing report this week.


------------------

Alan, two questions.
1) We are not running NMAS is out current environment, the directory guys were telling me that we had plans to utilize it, but NMAS was causing some other logon issues.
2) Are you suggesting that we DISABLE the user logon updates? Wouldn't that lock in the current setting in the Network Address field?

Thanks for the post and the tips, Alan.

We are still having users authenticate to netware 6.5 servers (I do have ONE OES Linux server up, but nobody is directly authenticating to it yet).  Ironically the OES Linux server is my #1 LDAP authentication server for Astaro eDir SSO.  I think Alan's tip may help us as I suspect we are affected by the scenario "A" (not setting the networkaddress attribute).  

I have a support ticket open with Astaro on this as well, I am waiting to hear back from them concerning what they found.  

Unfortunately, unlike MisterAG, running the proxy in standard mode is NOT an option.  We are a K-12 school district that MUST use rules based filtering.

We also saw that all PCs will more reliably update the network address field when they connect directly to an OES server, as opposed to connecting to a cluster resource. A ticket is open with Novell, and we will hopefully have a resolution soon. 

MisterAG, what did Novell come back with regarding this ticket?

For OES Linux:
Create a file nmas.config in /var/opt/novell/eDirectory/data. The file only needs to contain the command “nmas LoginInfo 1”

I know this is resurrecting an old thread, but in case anyone else finds this thread, this info above is wrong, and Novell haven't done a good job of clarifying/updating all of their documentation.

The line shouldn't have "nmas" at the beginning, eg it should read "LoginInfo 1".

See the changelog on the TID here: High Utilization: Disabling user login attribute updates while still locking out intruders

Regards,
Stuart

Thanks Stuart, That's a significant clarification.

Thanks Stuart, That's a significant clarification.

That is for Linux only, BTW.

The reason this has cropped up is that we've had a recurrence of SSO problems and I've been looking into network address attributes not populating.  I don't actually see the reason why this needs to be set to this rather than to "2" or "3", unless the default it "0" (off) and "1" is the minimum needed to make it work.

I've got a contact at Novell and I'm just cracking an email off to see if they can clarify.

Regards,
Stuart