Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 28 replies
  • Subscribers 1 subscriber
  • Views 14288 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Adding 2nd Domain to SSO / Web Proxy

mrainey
I have ASG 120 and ASG 220 v 7.509 in 2 offices connected via Site2Site VPN. There is a different domain behind each ASG. There is a 2 way Forest Wide Trust established between the 2 domain's AD.

Recently turned on SSO and HTTP/S Proxy profiles on the domain behind the ASG 120 (the 220 will follow soon) I have 2 AD groups, MereMortals and VIPS, with different filter items and all is working well.

Now I have some PC's at the 120 site that are joining the domain at the 220 site. So it seems that I need to add a 2nd domain to the SSO / Web Proxy config there. I found this kb article that is not very helpful: https://support.astaro.com/support/index.php/Authenticate_multiple_AD_domains_via_SSO

I already have the trust relationship set up, users at either site can access resources on the other domain's servers. The trust is a 2 way Forest Trust, not a External Trust as mentioned in the link, but MS says the External Trust only needs to be used when a Forest Trust is not possible.

My confusion comes with setting up the User Authentication on the ASG. I can only have 1 domain and 1 authentication server on the SSO tab so how can I create user groups that authenticate to the other domain?

Do I just manually create a new group by keying in something like CN=MereMortals,OU=Users,DC=domain2,DC=com? There is no way to do a prefetch so do the users get created when they log on? What happens when the username is the same in both domains?


This thread was automatically locked due to age.
Parents
  • 0
    Well, Bruce's idea makes sense, but.... OK, on Domain1 where the Proxy is running, I created a Domain Local Security Group in AD and added  members from Domain2. On the 120 I created a user group with that DLSG and added it to the HTTP Profiles. I created a new Filter Action so I could track this in the live log. So I have Domain1 Mere Mortals, and Domain2 Mere Mortals. So User1, who exits in Both domains and has a User1 id on the ASG, but now logs onto the remote Domain2. In live log I would expect to see her using the Domain2 Mere Mortals filter action. But not so, she is using the Domain1 filter action as she did before changing the domain of her PC.

    I'm also thinking that my group policies are going to get complex, because when I start forcing Domain2 where the ASG 220 is to use the proxy server, people logging in from the remote site will use the wrong proxy. For testing this User1 at Domain1, I manually set the proxy on her PC.
Reply
  • 0
    Well, Bruce's idea makes sense, but.... OK, on Domain1 where the Proxy is running, I created a Domain Local Security Group in AD and added  members from Domain2. On the 120 I created a user group with that DLSG and added it to the HTTP Profiles. I created a new Filter Action so I could track this in the live log. So I have Domain1 Mere Mortals, and Domain2 Mere Mortals. So User1, who exits in Both domains and has a User1 id on the ASG, but now logs onto the remote Domain2. In live log I would expect to see her using the Domain2 Mere Mortals filter action. But not so, she is using the Domain1 filter action as she did before changing the domain of her PC.

    I'm also thinking that my group policies are going to get complex, because when I start forcing Domain2 where the ASG 220 is to use the proxy server, people logging in from the remote site will use the wrong proxy. For testing this User1 at Domain1, I manually set the proxy on her PC.
Children
No Data