Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 2592 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

E-Dir Authentication Problems (No Network Address)

MisterAG
Hey guys,

This is more of an EDirectory issue, but I thought that I'd give you a shot.

We're running EDirectory SSO on an AWG 4000 (7.405). Over the holidays, several of our EDirectory servers rebooted. When users started to log in on Monday, several (over 100) were always getting the Astaro logon requestor. We tracked the issue down to the network address field in the user's EDirectory DN not being populated, even when the user logs in. We've checked the basic stuff like client version (should be above NW Client 4.91 SP3 - we're running SP5), and ensure that the EDirectory servers are processing client updates.

I'm thinking that there is a replication issue between our servers, since setting the primary logon server seemed to resolve the issue 90% of the time, but any ideas are welcome.

Thanks.


This thread was automatically locked due to age.
Parents
  • 0
    Here are two edir tweaks which have helped a few users:

    A) Novell eDirectory may fail to set the networkAddress attribute when users login – This happens primarily on edirectory on Linux, but can also happen on Netware. In this case, users may login to edirectory, but still be presented with an authentication popup. Checking the user attributes in edirectory, you will see that there is no networkAddress attribute set. The following steps can properly instruct eDirectory to set the networkAddress attribute for all users upon login. 

    For OES Linux:
    Create a file nmas.config in /var/opt/novell/eDirectory/data. The file only needs to contain the command “nmas LoginInfo 1” without quotes. File permissions should be 644.
    Run “rcndsd restart” after creating the file. This will restart Novell Directory Services.

    For Netware 6.5:
    Issue the command “nmas LoginInfo 1” from the Server Console.
    The command will need to be added near the end of the AUTOEXEC.NCF as well.
    Unload / Reload DS.NLM after issuing the command. This will restart Directory Services.

    More info on this setting: Disabling Login Update Attribute for NDS and NMAS Logins | Novell User Communities

    B) Novell Edirectory may not properly clear networkAddress attributes when users log out – This may cause Astaro to mistakenly see more than one user logged in at the same IP address, causing users to be prompted for authentication when browsing the web. The following setting will cause edirectory to properly remove the networkAddress attribute for users who are no longer logged in.

    Open a Linux Terminal as root on the OES2 Server and run 
     ncpcon set FIRST_WATCHDOG_PACKET=1

    These steps involve modifying settings on your eDirectory server. While I do not believe these changes to be dangerous changes in any way, and I have seen these settings made in numerous customer environments without incident, I am not an eDirectory expert, and cannot absolutely guarantee that there will not be problems or side-effects from making the recommended changes. Standard precautionary steps are recommended, such as making sure you have current backups of the affected systems.
  • 0 in reply to AlanT_01

    For OES Linux:
    Create a file nmas.config in /var/opt/novell/eDirectory/data. The file only needs to contain the command “nmas LoginInfo 1”


    I know this is resurrecting an old thread, but in case anyone else finds this thread, this info above is wrong, and Novell haven't done a good job of clarifying/updating all of their documentation.

    The line shouldn't have "nmas" at the beginning, eg it should read "LoginInfo 1".

    See the changelog on the TID here: High Utilization: Disabling user login attribute updates while still locking out intruders

    Regards,
    Stuart
Reply Children
No Data
Cookie Information Banner