Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 26 replies
  • Subscribers 1 subscriber
  • Views 9273 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Problems with eDirectory SSO

dspender
We've had mounting problems with edirectory sso over the last few months. I would say ever since the 7.5 update which we did over Christmas break.

At first it was just a few users saying that they would get prompted for manual authentication then it slowly escalated to just about every user having experienced it at some point.

Tonight the whole thing went meltdown.

Messages in the AUA log - tons per second repeating over and over thousands of times and no one could authenticate:

[PHP]2010:04:12-20:00:32 thetube aua[30840]: id="3006" severity="info" sys="System" sub="auth" name="Trying 10.1.1.227 (edirectory)"
2010:04:12-20:00:32 thetube aua[30841]: id="3006" severity="info" sys="System" sub="auth" name="Trying 10.1.1.227 (edirectory)"
2010:04:12-20:00:32 thetube aua[30842]: id="3006" severity="info" sys="System" sub="auth" name="Trying 10.1.1.227 (edirectory)"
2010:04:12-20:00:32 thetube aua[30843]: id="3006" severity="info" sys="System" sub="auth" name="Trying 10.1.1.227 (edirectory)"
2010:04:12-20:00:32 thetube aua[30844]: id="3006" severity="info" sys="System" sub="auth" name="Trying 10.1.1.227 (edirectory)"
2010:04:12-20:00:32 thetube aua[30845]: id="3006" severity="info" sys="System" sub="auth" name="Trying 10.1.1.227 (edirectory)"
2010:04:12-20:00:32 thetube aua[30846]: id="3006" severity="info" sys="System" sub="auth" name="Trying 10.1.1.227 (edirectory)"
2010:04:12-20:00:32 thetube aua[30847]: id="3006" severity="info" sys="System" sub="auth" name="Trying 10.1.1.227 (edirectory)"
2010:04:12-20:00:32 thetube aua[30848]: id="3006" severity="info" sys="System" sub="auth" name="Trying 10.1.1.227 (edirectory)"
2010:04:12-20:00:32 thetube aua[30849]: id="3006" severity="info" sys="System" sub="auth" name="Trying 10.1.1.227 (edirectory)"
2010:04:12-20:00:32 thetube aua[30850]: id="3006" severity="info" sys="System" sub="auth" name="Trying 10.1.1.227 (edirectory)"
2010:04:12-20:00:32 thetube aua[30851]: id="3006" severity="info" sys="System" sub="auth" name="Trying 10.1.1.227 (edirectory)"
2010:04:12-20:00:32 thetube aua[30852]: id="3006" severity="info" sys="System" sub="auth" name="Trying 10.1.1.227 (edirectory)"
2010:04:12-20:00:32 thetube aua[30853]: id="3006" severity="info" sys="System" sub="auth" name="Trying 10.1.1.227 (edirectory)"
2010:04:12-20:00:32 thetube aua[30854]: id="3006" severity="info" sys="System" sub="auth" name="Trying 10.1.1.227 (edirectory)"
 [/PHP]

We rebooted and at first it seemed to work but minutes later the same symptoms appeared. I tried entering a different LDAP server and the same symptoms occurred. The LDAP servers were both responding normally to other LDAP requests from our other systems. 

I rebooted one last time with the 2nd server active and I am still getting the 'trying' message but it seems to have calmed down for now.

Its too bad because we had similar issues to these when we first started with Astaro a couple years ago and then they seemed to be fixed with 7.3 Now we're back to where we started.

Will probably open a ticket tomorrow but wanted to see if anyone had any thoughts.


This thread was automatically locked due to age.
  • 0
    Having same problems here with upgrade from 7.502 to 7.504. Patched edir and nmas on OES 6.5 servers over the weekend with no help. To make matters worse I am no longer able to find the 7.502 iso files to reinstall my servers back to that version. Lesson learned: do all patch updates on a production test server before implementing on production servers.
  • 0
    Response from Astaro - hopefully this is the issue, I do have 10K SAS drives though:

    An escalation engineer and I were looking over your system.  We have found that
    the issue is likely related to high load/latency of your system.  The CPUs are
    fast enough and the memory is sufficient but your HDDs seem to have a bit of
    latency that is causing wait time and high load on the CPUs.  As a result, we have
    disabled http caching.  This helped a little bit with the CPU wait time and load
    average, but not enough to make a large difference.  We have also found that the
    log partition is over 90% full.  This is mostly (24GB) http log files from last
    year.  It is recommended to set your log file retention to delete every 90 days or
    less under logging > settings.  Then once the log rotation is kicked off at
    midnight, the system will delete all log files older than 90 days.

    Once this is done, you should see better performance of your system and hopefully
    the popups will cease.
  • 0 in reply to dspender
    Well despite all the changes on both the Astaro and the Ldap/eDir servers I still am having my original issue. Just a few minutes ago auth completely died and just spammed the aua.log with 1000's of lines of 'Trying 10.1.1.x' (edirectory)

    Changing LDAP servers did not help. 

    Rebooting the Astaro fixed the issue. I sent a log out to Astaro let's see what they say.

    My constant proxy popup have slowed slightly but despite all the changes I still have issues with auth and random users. Even though they have been browsing fine for hours, all of a sudden they will get a proxy pop up storm where if they enter credentials or click cancel it will continue to appear. They must usually reboot to fix it.
  • 0 in reply to dspender
    Submitted an AUA debug log, support basically said 'wierd' and escalated it. 12 days later, still no response.

    If anyone is interested I can post it but I'm too lazy atm to remove all the usernames and passwords [8-)]
  • 0
    Still no response from support - The log was submitted on May 6th. Almost a MONTH later, nothing. Feeling a little frustrated.
  • 0
    Save yourself the headache and backrev to version 7.502 or 7.503. I'll stay at these revs until they get this all sorted out.
  • 0
    Still nothing from support. Its been 6 weeks. I've sent multiple requests for updates. I never get a response. I've even gone so far as to check my SMTP logs to make sure its not been dumped as spam. 

    This is definitely one of the worst support experiences I've ever had.
  • 0
    I bit the bullet and upgraded to 7.505 last weekend.

    I noticed that it un-configured my eDIR settings in the console and a few lUsers phoned-in with IE pop-up boxes but I don't think it has been any better or worse than before.
  • 0 in reply to dspender
    Hi dspender,

    Still nothing from support. Its been 6 weeks. I've sent multiple requests for updates. I never get a response. I've even gone so far as to check my SMTP logs to make sure its not been dumped as spam. 

    This is definitely one of the worst support experiences I've ever had.


    Have you had any update with this?  What support level do you have on your server?  I have platinum so will report the issue and try to get it linked to mine (if you can PM me your support case).

    We have a similar problem using eDir SSO against OES2 servers in an environment of about 6000 users.  It manifests itself here as eDir authentication failing, dropping back to LDAP and then locking the user account (as we have intruder detection enabled).  The intruder address is the internal address of the Astaro.

    Regards,
    Stuart
  • 0 in reply to Stupots
    Just want to add that we experience the same kind of problem: after upgrading from 7.502 to 7.505 eDir-SSO is not as reliable as before. 

    In our case SSO works the most time, but users started to complain about the additional authentication question. Network address is properly populated in eDir, so that's not cause of the problem. Canceling the authentication popup let's the web page continue to load.

    Aua.log does not show any errors messages (besides failed authentication attempts which are correct to have failed).

    Seems that Astaro has screwed up SSO somehow.

    And will hopefully fix that.