Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 3161 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Proxy Authentication asked with eDirectory-sso

khardeveld
We currently got eDirectory-sso enabled, with our Novell Cluster master IP address as the authentication source. We also have HTTP/S Profiles. All users are member of an eDirectoy group for browser access which is synced with an astaro group. This astaro group is used within the HTTP/S profile.

We are using both IE and Firefox, with proxy set to astaro port 8080. With both browsers we get the problem that users sometimes are requested to enter username/password if they want to go to a web page. After entering their eDirectoy credentials they get access. It doesn't happen to all users and users that need to enter their credentials tody may not have to tomorrow.

I cannot see anything in the authentication log. Only after authenticating the proxy login on the workstation I get a succesful authentication in the log.

Does anybody else have these problems or suggestions where to look next?

We are running on 7.502

Thanks!


This thread was automatically locked due to age.
Parents
  • 0
    Hi Khardeveld,

    We use eDir SSO and it works really well (even with 60 second intervals), so I'm sure it's just a configuration problem...

    Under Users --> Authentication --> Servers, does a test authentication work?  If not, then you have some issue talking to your backend server.  Does your eDir source server have a master / read/write replica of the OU where your users reside?

    Also, under Users --> Groups, have you created an Astaro group with dynamic membership specifying your LDAP/eDir group that will be the source?

    Under Web Security --> http/s profiles, have you configured filter assignments, filter actions and proxy profiles that specify what your group can and can't do?

    When you think this is all ok, you can check what's happening at the eDir backend by looking at /var/log/aua.log - this will tell you whether the SSO side is working, because once a user has logged on to eDir you should see "Adding user to cache IP:x.x.x.x, dn:cn=aaaa,ou=bbbb,o=cccc" events.  

    Astaro can then match source IP address of proxy requests with users by their logged-on IP address.

    Regards,
    Stuart
Reply
  • 0
    Hi Khardeveld,

    We use eDir SSO and it works really well (even with 60 second intervals), so I'm sure it's just a configuration problem...

    Under Users --> Authentication --> Servers, does a test authentication work?  If not, then you have some issue talking to your backend server.  Does your eDir source server have a master / read/write replica of the OU where your users reside?

    Also, under Users --> Groups, have you created an Astaro group with dynamic membership specifying your LDAP/eDir group that will be the source?

    Under Web Security --> http/s profiles, have you configured filter assignments, filter actions and proxy profiles that specify what your group can and can't do?

    When you think this is all ok, you can check what's happening at the eDir backend by looking at /var/log/aua.log - this will tell you whether the SSO side is working, because once a user has logged on to eDir you should see "Adding user to cache IP:x.x.x.x, dn:cn=aaaa,ou=bbbb,o=cccc" events.  

    Astaro can then match source IP address of proxy requests with users by their logged-on IP address.

    Regards,
    Stuart
Children
No Data