Weird problem with AD SSO

Try this: Configure HTTP-S Proxy with AD-SSO.  I guess that you've run into the glitch mention in section V.

Cheers - Bob

Hello, as it seems I really ran into that glitch. Anyway I removed the LDAP Query and exchanged it with the group name, as it is described in the how to. Authentication tests passed and I got back the right groups for the user I was testing.

Then I flushed the auth cache and tried to turn on the proxy profiles - but I just got the same problems as described in my first post. Popup for the credentials, after 3 tries it closes and I got a site that I can't authenticate, without any sign that I've tried in the auth daemon log.

I'll post what I've got:

[SIZE="2"]2010:09:28-09:16:11 gw aua[17899]: id="3006" severity="info" sys="System" sub="auth" name="Spawned child for authentication test"
2010:09:28-09:16:11 gw aua[17899]: id="3006" severity="info" sys="System" sub="auth" name="Authentication test request: m:adirectory, f:none, u:user, ip:"
2010:09:28-09:16:11 gw aua[17899]: id="3006" severity="info" sys="System" sub="auth" name="Testing method adirectory"
2010:09:28-09:16:11 gw aua[17899]: id="3006" severity="info" sys="System" sub="auth" name="Trying 0.0.0.117 (adirectory)"
2010:09:28-09:16:11 gw aua[17899]: id="3006" severity="info" sys="System" sub="auth" name="Authentication test successfull"[/SIZE]

I'll hope I corrected the groups right regarding to the glitch, anyway I appreciate every help I get on this topic.

The problem appears to be that your Astaro is not joined to your domain.  The document I recommended includes the following in section IV:

To successfully configure SSO, do not manually add the Astaro in Active Directory on the AD server. If you have added it there, you will need to return to the server running the AD services where you must remove the Astaro from Active Directory before continuing with the rest of this document.

Once you've removed the Astaro from the AD server, you can go to the SSO tab in WebAdmin and join again.

Cheers - Bob

BTW, I believe this issue (have to leave that server field blank when joining) is fixed in 8.002.

Bruce, from the pics he supplied, I guessed he was on 7.5 instead of 8.000 or 8.001.

Cheers - Bob

Yes we are on 7.507 and with the little resources left on our 220 I don't know yet if we update to 8 or just buy a 320 next year with V8 preinstalled. 

Anyway I never joined the domain manually with the asg, I've used the SSO Tab which is described in the guide (but the asg joined 2 months ago). I'll try to remove it and rejoin the domain tomorrow, possibly that helps.

If that doesn't resolve your issue, please show pics of the HTTP/S 'Global' tab and the 'Proxy Profiles' tab.  You also might confirm that you don't have a local user with the name you're testing.

Cheers - Bob

I've just deleted the asg from the domain and rejoined it, but the problem didn't resolve. The user accounts on the Astaro are all prefetched or automatically generated with backend sync of the AD except for the local admin-accounts of course.

I added the 2 requested screenshots.

Can you try to use ASG IP address instead of the FQDN in the IE proxy? Does the problem happen for all the computers and users?

I'll recheck at every configuration change with 3 different users, first one is mine which is in the admin group, the second one is from my colleague from the users group and I'll have a default test user (just a new domain account) which is in the users group.
I also check different browsers (so far IE8, IE9 Beta, Opera, Chrome and FF) and different OSes (WinXP as ESXi VM and Win7 on my workstation).

Anyway changing the proxy configuration to IP from FQDN didn't change anything [:(] I'm just confused why I can't see anything at the logs, especially as the firewall always opens the site "Authentication Failed".