Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 28 replies
  • Subscribers 1 subscriber
  • Views 14286 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Adding 2nd Domain to SSO / Web Proxy

mrainey
I have ASG 120 and ASG 220 v 7.509 in 2 offices connected via Site2Site VPN. There is a different domain behind each ASG. There is a 2 way Forest Wide Trust established between the 2 domain's AD.

Recently turned on SSO and HTTP/S Proxy profiles on the domain behind the ASG 120 (the 220 will follow soon) I have 2 AD groups, MereMortals and VIPS, with different filter items and all is working well.

Now I have some PC's at the 120 site that are joining the domain at the 220 site. So it seems that I need to add a 2nd domain to the SSO / Web Proxy config there. I found this kb article that is not very helpful: https://support.astaro.com/support/index.php/Authenticate_multiple_AD_domains_via_SSO

I already have the trust relationship set up, users at either site can access resources on the other domain's servers. The trust is a 2 way Forest Trust, not a External Trust as mentioned in the link, but MS says the External Trust only needs to be used when a Forest Trust is not possible.

My confusion comes with setting up the User Authentication on the ASG. I can only have 1 domain and 1 authentication server on the SSO tab so how can I create user groups that authenticate to the other domain?

Do I just manually create a new group by keying in something like CN=MereMortals,OU=Users,DC=domain2,DC=com? There is no way to do a prefetch so do the users get created when they log on? What happens when the username is the same in both domains?


This thread was automatically locked due to age.
  • 0
    I believe the easiest way to handle this is to create a group (or groups) in the "current" domain with groups from the "new" domain as members, and controll access using the new "current" domain groups.
  • 0
    Bruce, could you expand on your thoughts a bit?  I think think I lost you at about word #11... [:O]

    Cheers - Bob
  • 0
    Well, Bruce's idea makes sense, but.... OK, on Domain1 where the Proxy is running, I created a Domain Local Security Group in AD and added  members from Domain2. On the 120 I created a user group with that DLSG and added it to the HTTP Profiles. I created a new Filter Action so I could track this in the live log. So I have Domain1 Mere Mortals, and Domain2 Mere Mortals. So User1, who exits in Both domains and has a User1 id on the ASG, but now logs onto the remote Domain2. In live log I would expect to see her using the Domain2 Mere Mortals filter action. But not so, she is using the Domain1 filter action as she did before changing the domain of her PC.

    I'm also thinking that my group policies are going to get complex, because when I start forcing Domain2 where the ASG 220 is to use the proxy server, people logging in from the remote site will use the wrong proxy. For testing this User1 at Domain1, I manually set the proxy on her PC.
  • 0
    Hi, 
    I have configured such a thing, two domains with trust relationship between the two and it is working fine, I didn't create groups as Bruce said every domain has its groups which is configured on Astaro. Even if the user name is the same on both domains, I think not only the username is sent for authentication also the domain, I mean domain1/user1 and domain2/user1, the profile should be applied according to that,
    Please can you show us your configuration?
  • 0
    Sorry I missed this reply yesterday. I am anxious to get this configured right. How should I show you the config? Post some screen shots? (Don't see where I do that??) , post the log? So, techuser, how did you configure you user groups for the 2nd domain? In the SSO tab, I am only allowed to specify 1 domain controller.
  • 0
    Well I think I resolved one issue: In the remote domain controller I can exempt the local subnet from the group policy so a user at site1 will not be using a proxy at site2. But still having an issue with user authentication. User is configured as Bruce suggested. When I look in the https live log the user "USER1" part only shows the username, no domain info is there, so even though user1 is logging on to DOMAIN2, she is getting the filter action for DOMAIN1
  • 0
    Bruce, let me try to say what you said in my own words, and please tell me if that's what you recommended above...

    - 1 - Establish a trust relationship between the two domains.
    - 2 - In the domain to which the Astaro is joined, use existing Security Groups or create new ones for the members of the other domain.  Add the members of the other domain to the appropriate Group(s).

    If so, does that mean it's not possible to use group definitions from the other domain?  Or, is it possible if both ADs are in the same Forest? (I don't really know enough about what that means, but I'll learn it if it'll help with Astaro AD-SSO configurations!)

    Cheers - Bob
  • 0
    1- You must have a trust relationship between the domains.
    2- Join Astaro to Only one domain (because there is a trust relationship it will see the other domain)
    3- To configure the groups let's say you joined Astaro to Domain A, configure whatever groups from this domain as usual. but for groups in domain B you have to add it manually 
    CN=group1,CN=Users,DC=domainB,DC=com  for example.
    4- configure your profiles for each group.
    5- I don't know if this step is necessary but in the DNS configuration on Astaro I added a Request Routing for both domains.

    you can attach a picture of your configuration, click on go advanced there is a button "Manage Attachments".

    HTH
  • 0 in reply to techuser
    1- You must have a trust relationship between the domains.
    2- Join Astaro to Only one domain (because there is a trust relationship it will see the other domain)
    3- To configure the groups let's say you joined Astaro to Domain A, configure whatever groups from this domain as usual. but for groups in domain B you have to add it manually 
    CN=group1,CN=Users,DC=domainB,DC=com  for example.
    4- configure your profiles for each group.
    5- I don't know if this step is necessary but in the DNS configuration on Astaro I added a Request Routing for both domains.

    you can attach a picture of your configuration, click on go advanced there is a button "Manage Attachments".

    HTH


    This works as well...
  • 0
    Well, that was painful. I switched from Bruce's config with local groups for the remote domain to techusers config with a manually entered user group on the remote domain. Still was not seeing the user for the remote domain authenticating in the live log. She still looks like a local user. So, I bounced the https service. BAM! Now no one is authenticating. I only changed that one user group but SSO auth stopped working for everyone. I updated group policy as Bob suggested in another post to use fqdn instead of ip, restarted a user's pc but still no luck. Hate having to do this in production. The quick temporary fix was to turn off SSO and proxy profiles, will do some night time testing before turning it on again. Here is the config. Notice that to switch between Bruce's and techusers approach I only have to change the container and domain name in the user groups definition.

    Any ideas why SSO auth stopped working for the local domain?
    ProxyProfiles.zip