Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 28 replies
  • Subscribers 1 subscriber
  • Views 14303 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Adding 2nd Domain to SSO / Web Proxy

mrainey
I have ASG 120 and ASG 220 v 7.509 in 2 offices connected via Site2Site VPN. There is a different domain behind each ASG. There is a 2 way Forest Wide Trust established between the 2 domain's AD.

Recently turned on SSO and HTTP/S Proxy profiles on the domain behind the ASG 120 (the 220 will follow soon) I have 2 AD groups, MereMortals and VIPS, with different filter items and all is working well.

Now I have some PC's at the 120 site that are joining the domain at the 220 site. So it seems that I need to add a 2nd domain to the SSO / Web Proxy config there. I found this kb article that is not very helpful: https://support.astaro.com/support/index.php/Authenticate_multiple_AD_domains_via_SSO

I already have the trust relationship set up, users at either site can access resources on the other domain's servers. The trust is a 2 way Forest Trust, not a External Trust as mentioned in the link, but MS says the External Trust only needs to be used when a Forest Trust is not possible.

My confusion comes with setting up the User Authentication on the ASG. I can only have 1 domain and 1 authentication server on the SSO tab so how can I create user groups that authenticate to the other domain?

Do I just manually create a new group by keying in something like CN=MereMortals,OU=Users,DC=domain2,DC=com? There is no way to do a prefetch so do the users get created when they log on? What happens when the username is the same in both domains?


This thread was automatically locked due to age.
  • 0
    Interesting, can you get your reseller to submit a Support request for this?

    Cheers - Bob
  • 0
    I have opened a support case. Will update when I get a response.
  • 0
    Hello,
    Did you manage to solve your problem, now I am facing the same thing after upgrading to 8.203 users from the other domain are not authenticated with error in the log 
    winbind failed ??
  • 0
    Try rebooting the Astaro to restart the winbind daemon.  Did that do it?

    Cheers - Bob
  • 0
    Hi Bob
     
    Yes I did that, but it didn't work?
  • 0
    I opened a case with Astaro Technical Support with my "Platinum Support Agreement" and they basically said "It ought to work the way you have it configured" and never called back. So no, I have not solved this issue. I am disappointed that the problem still exists in 8.x, I had hoped upgrading would fix it.
  • 0
    @techuser - Isn't this a different issue than mrainey?  I just reread the thread and he never mentioned winbind.  Is winbind still erroring out after a reboot?  I had a problem with 8.203, but was able to fix it by restoring a config backup from just before the upgrade.

    @mrainey - Are you sure you have the trust relationship configured correctly?

    Cheers - Bob
  • 0
    I can log on to any domain from any computer and access resources on the other domains, so I think the trust is correct. And as I said above, I can authenticate to the remote domain from the ASG Users/Authentication tab, but the user of the remote domain is not recognized for the proper proxy profile. Any suggestions of what to check appreciated. I am running WinServ 2003. Each of the domain controllers is it's own forest, so this is a forest level trust.