Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 28 replies
  • Subscribers 1 subscriber
  • Views 14288 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Adding 2nd Domain to SSO / Web Proxy

mrainey
I have ASG 120 and ASG 220 v 7.509 in 2 offices connected via Site2Site VPN. There is a different domain behind each ASG. There is a 2 way Forest Wide Trust established between the 2 domain's AD.

Recently turned on SSO and HTTP/S Proxy profiles on the domain behind the ASG 120 (the 220 will follow soon) I have 2 AD groups, MereMortals and VIPS, with different filter items and all is working well.

Now I have some PC's at the 120 site that are joining the domain at the 220 site. So it seems that I need to add a 2nd domain to the SSO / Web Proxy config there. I found this kb article that is not very helpful: https://support.astaro.com/support/index.php/Authenticate_multiple_AD_domains_via_SSO

I already have the trust relationship set up, users at either site can access resources on the other domain's servers. The trust is a 2 way Forest Trust, not a External Trust as mentioned in the link, but MS says the External Trust only needs to be used when a Forest Trust is not possible.

My confusion comes with setting up the User Authentication on the ASG. I can only have 1 domain and 1 authentication server on the SSO tab so how can I create user groups that authenticate to the other domain?

Do I just manually create a new group by keying in something like CN=MereMortals,OU=Users,DC=domain2,DC=com? There is no way to do a prefetch so do the users get created when they log on? What happens when the username is the same in both domains?


This thread was automatically locked due to age.
Parents
  • 0
    Well, that was painful. I switched from Bruce's config with local groups for the remote domain to techusers config with a manually entered user group on the remote domain. Still was not seeing the user for the remote domain authenticating in the live log. She still looks like a local user. So, I bounced the https service. BAM! Now no one is authenticating. I only changed that one user group but SSO auth stopped working for everyone. I updated group policy as Bob suggested in another post to use fqdn instead of ip, restarted a user's pc but still no luck. Hate having to do this in production. The quick temporary fix was to turn off SSO and proxy profiles, will do some night time testing before turning it on again. Here is the config. Notice that to switch between Bruce's and techusers approach I only have to change the container and domain name in the user groups definition.

    Any ideas why SSO auth stopped working for the local domain?
    ProxyProfiles.zip
Reply
  • 0
    Well, that was painful. I switched from Bruce's config with local groups for the remote domain to techusers config with a manually entered user group on the remote domain. Still was not seeing the user for the remote domain authenticating in the live log. She still looks like a local user. So, I bounced the https service. BAM! Now no one is authenticating. I only changed that one user group but SSO auth stopped working for everyone. I updated group policy as Bob suggested in another post to use fqdn instead of ip, restarted a user's pc but still no luck. Hate having to do this in production. The quick temporary fix was to turn off SSO and proxy profiles, will do some night time testing before turning it on again. Here is the config. Notice that to switch between Bruce's and techusers approach I only have to change the container and domain name in the user groups definition.

    Any ideas why SSO auth stopped working for the local domain?
    ProxyProfiles.zip
Children
  • 0 in reply to mrainey
    If it's not even working at all now, with the original configuration (did you restore a backup, or just try setting things back from memory?) ... you may want to revisit Astaro Support... they can have you turn on debug options that will shed some light on why users aren't authenticating at all now.

    If you are on version 8.201, you may want to try the patch that Astaro has issued that corrects a number of issues with tht HTTP proxy (fair warning, I have not tested this patch myself, as my customers remain on Version 8.103 for now, just applied it to a test system today -- see https://support.astaro.com/support/index.php/HTTP_Proxy_Issues_after_8201 ).  I don't know that the patch would affect your particular issue, but it's something to try if you are on 8.201.

    If you have not updated to the 8.2xx branch yet, I don't recommend that you do, but make sure you are running at least 8.103.

    Oh... .looked at your OP ... I guess you're still on 7.509 ... you may want to try updating to 7.511, though I don't remember there being any SSO issues resolved by anything in 7.510 and 7.511 -- all of my managed customers are on the 8.103 platform currently.  I do recall wierd issues on domains running W2K8 or W2K8R2 with the 7.5xx (and earlier) versions, so updating to 8.103 may be something worth trying as well.

    Just an FYI; the difference between using FQDN or an IP in your IE browser Proxy settings, when used with AD SSO, is that the browser will try Kerberos if you use a FQDN, and NTLM if you set an IP.