Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 3159 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Proxy Authentication asked with eDirectory-sso

khardeveld
We currently got eDirectory-sso enabled, with our Novell Cluster master IP address as the authentication source. We also have HTTP/S Profiles. All users are member of an eDirectoy group for browser access which is synced with an astaro group. This astaro group is used within the HTTP/S profile.

We are using both IE and Firefox, with proxy set to astaro port 8080. With both browsers we get the problem that users sometimes are requested to enter username/password if they want to go to a web page. After entering their eDirectoy credentials they get access. It doesn't happen to all users and users that need to enter their credentials tody may not have to tomorrow.

I cannot see anything in the authentication log. Only after authenticating the proxy login on the workstation I get a succesful authentication in the log.

Does anybody else have these problems or suggestions where to look next?

We are running on 7.502

Thanks!


This thread was automatically locked due to age.
  • 0
    What does the Netware Server say: 

    set dstrace=off

    set dstrace=+ldap

    set dstrace=on

    dstrace
  • 0 in reply to SveN_01
    Sorry, forgot to mention that we run OES2 on SLES. Will have to check the right commands [[:)]]

    But we found one issue we needed to change: The sync interval on the SSO was set to 60 seconds. According to our supplier we'd better change this back to the recommended 20 seconds. 

    Tomorrow we will know if this helped [[:)]]
  • 0 in reply to khardeveld
    But we found one issue we needed to change: The sync interval on the SSO was set to 60 seconds. According to our supplier we'd better change this back to the recommended 20 seconds.

    Normaly this should have nothing to Do with your Problem....
  • 0 in reply to SveN_01
    we have the same exact issue from time-to-time...

    usually we just reboot the workstation...I know its not a fix but thats what we are living with...
  • 0
    Hi Khardeveld,

    We use eDir SSO and it works really well (even with 60 second intervals), so I'm sure it's just a configuration problem...

    Under Users --> Authentication --> Servers, does a test authentication work?  If not, then you have some issue talking to your backend server.  Does your eDir source server have a master / read/write replica of the OU where your users reside?

    Also, under Users --> Groups, have you created an Astaro group with dynamic membership specifying your LDAP/eDir group that will be the source?

    Under Web Security --> http/s profiles, have you configured filter assignments, filter actions and proxy profiles that specify what your group can and can't do?

    When you think this is all ok, you can check what's happening at the eDir backend by looking at /var/log/aua.log - this will tell you whether the SSO side is working, because once a user has logged on to eDir you should see "Adding user to cache IP:x.x.x.x, dn:cn=aaaa,ou=bbbb,o=cccc" events.  

    Astaro can then match source IP address of proxy requests with users by their logged-on IP address.

    Regards,
    Stuart
  • 0 in reply to SveN_01
    Thank you Stuart for your suggestions [[:)]]

    Under Users --> Authentication --> Servers  Authentication works fine, even when the user gets the authentication prompt

    Users --> Groups Had the dynamic membership with the eDir group

    Web Security --> http/s profiles does have the right filter assigments. 

    I Will check /var/log/aua.log. Didnt kwon this one (or is the the authentication log from the webmanager?). It does seem that something could be wrong there.

    As they explained it to me, the sync does a match between user ID and IP's, which can give you the authentication screen if the match isn't done (yet). Sounded logical, since the problems started to increase after users frequently logged in from different machines, and reboots usually fixed the problem.

    We'll have to see what happens today [[:)]] I'll let you know. Will also try to see what the dstrace that SveN suggested does.
  • 0
    Khardeveld,

       I am having eDirectory-sso problem on different random users.  Are you still having eDirectory-sso issue?  What is fix?  It is just rebooting the computer and make sure that Novell Client is at latest version?  I am wondering about building standalone Novell SuSE OES2 linux edir server, and then I would change edir sso from Novell Cluster node server to OES2 standalone server.

    Thanks,
  • 0 in reply to Dean_Carpenter
    Ok, we are slowly getting to clues [:)]

    We have noticed that one of our virtual eDirectory servers with replica has a problem with NTP. It runs way to fast, about 12-15 minutes ahead of time each day. We are trying to get it right, but even with VMware tools and ntpd deamon it still runs too fast. It seems that the problem is related to that. If we get the login screens with the users and we reset the time on the eDirectory server, after the synthetic time is gone the problem seems to disappear as well.

    Also, I got the following explanation from support concerning eDirectory SSO and proxy:

    User opens web page->proxy request to Astaro. Astaro reads IP address from request, then uses LDAP query to resolve username from the ip address. If this does not resolve succesfully, then the authentication screen appears.

    So one other thing we will try if the problem re-emerges is to check LDAP and see if we can confirm this.
  • 0 in reply to khardeveld
    I guarantee timesync issues will cause all kind of issues. It is the only reason I have not recommended OES servers on ESX. I have had far better success on Xen. I am not saying that you should have done that. I can't remember but there are some things that you can do with the kernel boot to help with the timesync issues with the vm's. I will see if I can trach that down.I have been running over a year with astaro doing sso against edir against a Xen vm and it is solid as a rock. I am actually doing clustering on vm's and I use a cluster resource for the authentication. A good place to look is the sles virtualization forum on Novell forums.
  • 0
    We have excactly the same problem.
    Does better time sync solve the issue? 
    I can't determine time issues between OES and our asg220. [:(]

    Any other hints?