Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 23 replies
  • Subscribers 1 subscriber
  • Views 9656 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Weird problem with AD SSO

gente
Hello Guys,

I'm trying to configure AD SSO with an ASG220. The firewall joined our domain (W2k8 R2 but in 2k3 scheme) and when I'll do the "test Authentication" in the webadmin everything seems fine. The test passes and I get back the groups of the specific user I'm testing.

The AD authentication even works for ssl vpn, it just didn't for the proxy.

When the authentication is activated, I get a popup where I have to fill in the credentials (in IE as well as Opera). After filling in the data and closing the popup it just pops up again. This repeats several times, unless I got a page that the authentication fails. Of course I've checked the Authenication Daemon Log - there was no entry for the authorization.

I've used this guide for configuration:
Astaro V7 Active Directory SSO setup and HTTP Profiles Configuration

Do you have an idea what could be wrong in my config?


This thread was automatically locked due to age.
  • 0
    I already knew that this is way to much to ask that you completly renew our network configurations in the asg forum, but at least you should know where are my problems. I didn't expect that someone writes down a complete solution for this problems.

    Anyway I don't want to make any big reconfigurations (either at network or on the astaro) for now, because we have quite a budget for next year and change (or have to change) a lot of equipment. Starting at the 19" racks themselfs, network equipment, astaro and hopefully we get an ip based telephone system. So I'll hope you can see my point.

    But I also have to say, thanks for the help, it was very appreciated, even when I'm stuck with basic auth by now.
  • 0
    OK, I just went back and scanned this whole thread.  I see we've already been over what was in my post #21 above.  This must be a DNS issue. 

    What you have should work as long as you can reach WebAdmin at https://proxy.ghi.local:4444/, and proxy.ghi.local on port 8080 is what you're setting the browsers to via GPO.

    If you've already deleted the Astaro from the Active Directory, and then rejoined again from the 'Single Sign-On' tab, the only other thing I can see that might make a difference (I don't know why) would be to set the mode to 'Active Directory SSO' on the 'Global' tab as well as in the Profile.  But, as I said, I don't think you have an issue with the Proxy configuration - just with DNS.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I've just rechecked everything via remote connection:

    rejoin the domain ghi.local via the SSO-tab

    https://proxy.ghi.local:4444 is reachable from the servers and the clients

    GPO: proxy.ghi.local:8080 is deployed for every connection type, excluding these internal adresses: 10*;192*;ghi*

    I've tried AD-SSO at the global tab for 2 different groups and/or single users - same problem as ever (fallback at ntlm -> error)

    I've also tried the profile: at AD-SSO see above, in basic auth the profile works like a charm and blocks or releases websites depending on the user which logs on.

    I think that as you've pointed it out, the proxy configuration isn't the problem and at least I'm not able to resolve a dns issue due to my lack of knowledge.