Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 1165 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Astaro AD SSO - v8.201

Syphuric1977_01
Hi,

Coming across an issue with an ASG v8.201 and AD SSO.

The issue is a user can browse to an external website which is fine, if the same user then locks the PC (with the browser still open)  for whatever reason, when they return and unlock and then browse to another site, they receive an Authentication Error from the ASG.  It can also occur if the PC is not locked.

The AD domain is Win2K3 and there are 2 DCs.  The PCs are a mix of Win XP (latest updates) and Windows 7.  It can happen on Win2k3/8 terminal servers too.

The ASG is connecting to the main DC and syncs with 500 AD users, which are listed in the users area in the ASG.

I have checked the live log under Web Security but when the issue occurs the user and PC IP is not listed.

This issue occurred in 8.1xx and 8.200.

Have logged with Astaro Support but not getting very far, hence this post.

Any input or advise would be great.  We do have other customers who have a similar setup and don't experience this issue !!

Thanks,
Simon


This thread was automatically locked due to age.
  • 0
    Hi, Simon, and welcome to the User BB!

    Please show the relevant lines from the 'Content Filter (HTTP/S)' and 'User authentication daemon' logs.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi,

    Sorry only just realised you posted back.

    They are no entries in either of the logs when the issue occurs, so no point posting!

    Astaro Support are still trying to fix but I'm not hopeful.  I'm beginning to think it's something on the domain.  The issue occurs regardless of NTLM or Kerberos authentication.  Bear in mind we have this setup at a number of other customers and this issue is not occurring.

    Perhaps an issue with clock drift which is expiring the security token?

    Cheers,
    Simon
  • 0
    It seems unusual that there could be an "Authentiction failed" message with no record of such in the 'User authentication daemon' log.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Do you have the proxy set in the client browser for port 8080?
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    I have checked the live log under Web Security but when the issue occurs the user and PC IP is not listed.


    So, I thought you meant there were lines but that they contained no user or IP...

    They are no entries in either of the logs when the issue occurs, so no point posting!


    If there's nothing in the Content Filter (HTTP/S) log, then the traffic is not being handled by the proxy.

    If there's nothing in the auth log, then it seems that the user is no longer logged into the domain - is that possible?

    Please [Go Advanced] below and add a picture of the message received.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Cheers for posting back Bob.

    The actual is was that the proxy in the corresponding AD GPO was set as Proxy.domain (the hostname on the ASG is set as proxy.domain). Internet Explorer connection settings showed this as all lower case but the corresponding registry entry showed as per the GPO.

    The value in the registry is then used by the Kerberos when connecting to the ASG.  The ASG rejected the request as the hostname was "incorrect".  

    When the GPO was updated with the correct case, and the Kerberos ticket renewed, the Authentication Failed message disappeared.

    Cheers
    Simon
  • 0
    Great.  Glad you're all fixed up.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    Just a pain it took nearly 3 weeks to figure out, even with proxy patches applied which were suggested by Astaro support.

    One for the memory banks I guess [:)]
Cookie Information Banner