Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 2626 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Feature Retired: Multiple AD Domain Support

AdrienBelcourt
Ladies and Gents,

We have just found out the hard way - support for multiple AD Domain controller SSO has been dropped by Astaro after 8.103.   It is a low priority for Astaro to re-instate because they only know of two customers so far affected by this.  We have one customer (and a second who will be affected when they upgrade past 8.103).   

Are any of you, or your customers also likely to be affected by this change???????

The issue is that Astaro can no longer distinguish groups of the same name (like Active Directory Users) on different DCs.  This means that if you add the group from one DC, you effectively add all the groups of the same name from all the DCs.  Not a problem if that is the required behaviour.  The work around is to make sure that all the groups added to Astaro, across all the domain controllers have unique names on the DCs.   

This workaround is only practical if you have full control and full access over all DCs.  However when you have different IT Directors/IT Teams per DC then this becomes very painful. 

So if you have, or are a customer on 8.103 or earlier with multiple AD controllers working with SSO, you might wish to take advice before going to 8.2xx or later.     

Best Regards,

Adrien


This thread was automatically locked due to age.
Parents
  • 0
    This problem definitely applies to setups where the trust relationship between domain controllers is two way - which is what we have.  However, I cannot tell you if this affect other trust relationship setups which are possible with AD.  What we have determined is that all users and all groups across all the DCs must be unique.  Astaro cannot tell them apart otherwise.  

    This is explained in the KIL list on http://www.astaro.com/lists/Known_Issues-ASG-V8.txt as follows>>>>>>

    ID19479 8.202 user-/group mapping does not work with identical user names in different domains
    ------------------------------------------------------------------------
    Description:  Http proxy stores the name and the corresponding SID for Active Directory user/groups in local SID cache.  If users/groups in different Active Directory domains do have identical names, it won't be possible to differentiate between these objects.   HTTP proxy does always return the first resolved SID/name for an Active Directory object.

    Workaround:   Rename the affected users/groups.
    >>>>>>>>>>>
    Note: this has been a problem since 8.104, so if you want to go back to full group/id support, then 8.103 is the last version that supports this.  

    The test we did in order to show this problem for groups was

    1. We created a new user on the BOSTON domain controller
    2. We created a new group on the BOSTON domain controller
    3. We added the new user to the new group on BOSTON
    4. We created an identical group on the PARIS domain controller. NOTE we have not added a single user to this group.
    5. We then added the PARIS group (with no users) to Astaro filtering.

    Now the Boston user can get out on the Paris group's allow credentials.   Also it turns out that if you have two identical usernames on two different DCs Astaro cannot tell the difference between these as well, although to be fair to Astaro careful reading of the KIL list entry suggests that.

    Best Regards,
Reply
  • 0
    This problem definitely applies to setups where the trust relationship between domain controllers is two way - which is what we have.  However, I cannot tell you if this affect other trust relationship setups which are possible with AD.  What we have determined is that all users and all groups across all the DCs must be unique.  Astaro cannot tell them apart otherwise.  

    This is explained in the KIL list on http://www.astaro.com/lists/Known_Issues-ASG-V8.txt as follows>>>>>>

    ID19479 8.202 user-/group mapping does not work with identical user names in different domains
    ------------------------------------------------------------------------
    Description:  Http proxy stores the name and the corresponding SID for Active Directory user/groups in local SID cache.  If users/groups in different Active Directory domains do have identical names, it won't be possible to differentiate between these objects.   HTTP proxy does always return the first resolved SID/name for an Active Directory object.

    Workaround:   Rename the affected users/groups.
    >>>>>>>>>>>
    Note: this has been a problem since 8.104, so if you want to go back to full group/id support, then 8.103 is the last version that supports this.  

    The test we did in order to show this problem for groups was

    1. We created a new user on the BOSTON domain controller
    2. We created a new group on the BOSTON domain controller
    3. We added the new user to the new group on BOSTON
    4. We created an identical group on the PARIS domain controller. NOTE we have not added a single user to this group.
    5. We then added the PARIS group (with no users) to Astaro filtering.

    Now the Boston user can get out on the Paris group's allow credentials.   Also it turns out that if you have two identical usernames on two different DCs Astaro cannot tell the difference between these as well, although to be fair to Astaro careful reading of the KIL list entry suggests that.

    Best Regards,
Children
No Data