AD-SSO not working

Update to my post:

We tried with Astaro Authentication Agent as well. I installed the agent in my system and when i tried to authenticate with my credentials the following error comes:

Could not Validate Certificate!
AAA will now close

Please help me configure AD-SSO correctly for my environment and let me know if more information is needed from my side.

Come on guys.. It has been 5 days since i posted and no replies.. Please help me as it is very important for me to configure AD-SSO correctly.

Have you ticked in your AD Group on Astaro webadmin the limit to backend membership? 
How are your profiles configured? please could you post some screenshots? 
What is in the logfile of the http proxy? Do you see some user information or is the field user= blank?

Regards

Achim

Hello Achim,

Thanks a lot for the reply. Answers to your questions:
I have not ticked the limit to backend membership. Is it critical to do so? if you can explain what is it used for and what difference will it make then it will clear our confusion.

Currently we have Transparent mode with no authentication. We have created separate profiles according to departments and have added machines with their IP address in to the respective profiles. But we want to change it to User based hence trying AD-SSO.

User field is blank in the http proxy log file when AD-SSO is configured.

Also just want to know there should be a pop-up for credentials in the browser once the proxy is setup in that browser correct? I mean due to SSO if i am logged in to my system and opening the browser then it might take my credentials from my system but suppose i am using another system then while opening browser should ask for credentials right? once i provide right credentials then only it should allow me access to webpages, isnt it? 

Please let me know if any more information is needed from my side. I will really appreciate your help.

Ok update to my posts.

 I tested it in Test Environment. Everything worked fine for Astaro 8.202. Joining to Domain works, AD-SSO works, proxy works, even when i did not allow in the authenticated users list and logged in with his account and opened browser it popped up for credentials too. 

 Then i updated to 8.301 and everything was working fine as well. Then comes the problem. Updating to 8.302 or 303 or 304 or the latest 305, everything stops working. I can not join Astaro in domain at all. I followed the instruction that removed the old Astaro account from AD and tried to join in domain. It does not work at all. 

  I read on Astaro forums that this is a bug with Astaro 8.302 onwards release. They have changed Samba and hence AD Authentication does not work at all.

  Can somebody else confirmed is this a bug with new release of Astaro or is there any work around? May be this is the reason why AD-SSO did not work for us int he Production Environment in the first place as we straight away tried in 8.304. But in test environment trying for 8.201 the steps we were following worked perfectly. 

 Please some help is needed guys.

Updating to 8.302 or 303 or 304 or the latest 305, everything stops working. I can not join Astaro in domain at all.

Why rejoin the domain after the upgrades?

I read on Astaro forums that this is a bug with Astaro 8.302 onwards release. They have changed Samba and hence AD Authentication does not work at all.

The reported bug is that winbindd stops working, and the only resolution at present is rebooting.  I'm not seeing this problem at any of my client sites.

Reading other posts, it appears that Sophos wants to get the fix into 8.306 which they hope to have in the coming days.  That's nothing official I learned, just the rumor.

Cheers - Bob

Hi Bob,

 Thanks for replying to my posts as you have helped me before successfully hoping to get some useful outputs again.

 Well we are currently having Transparent mode with no authentication and all our filters work on the IP based. We want to change that to User based and want to configure AD-SSO as well as standard mode with AD-SSO authentication and setting up proxy in browsers. Now As given above in my posts i went through the steps listed in that URL to do so but did not work out. We tested by just giving 1 user access in the Astaro, logged in to the system with that user account. Now he was given the internet access-fine (he should be) but in astaro logs nowhere we could find user based logs, just an IP based only. Then we logged in with another used who was not part of the authenticated user group in Astaro so he should be asked for credentials when he opens up browser and not given internet access, right? but it didnt happen. He was also given internet access. So we went through the forum and some posts suggested for successful configuration of AD-SSO you should take Astaro out of domain, delete the Astaro account from AD, rejoin the domain and let Astaro creates the account in AD and then configure AD-SSO. So we took out Astaro from domain and could not get back into it ever since.

But i did successfully tested all i mentioned above in pre-8.301 release of Astaro in the test environment. Well i have rebooted astaro few times too but failed to join into the domain. So may be i might have to wait till 8.306 if they resolve it in that release to use User based filtering functionality? As it is difficult to trace by IP who is doing what in Astaro but user based will be very helpful.

 If there is a solution or i am doing anything wrong please help me here.

Update to my Post:
We could somehow join the Astaro 8.305 into the domain with some modifications. But only thing now is AD-SSO is not working.I mean even if i have specified myself as an authenticated user list in Astaro and when i sign-on to a system with my account, it should allow me internet access but instead when i open a browser it pops up for credentials. When i provide credentials it works and give me access so SSO is not working.

@ BOB: what does this winbindd stops working does? i mean does it stop AD communication at all? And does it get resolved by rebooting astaro 1 time for you? As we have rebooted Astaro couple of times and it did not help so how many times should i reboot? [:)]

You definitely have one of the bad problems as this seems to be fixed by a reboot and/or a rejoin for almost everyone that has the problem.

I think your best bet at this time is to get Sophos Support involved.  They can give you a module that backports the HTTP Proxy.  Please let us know when that's done.

Cheers - Bob

The problem persists in V9.... Astaro machine is automatically created in AD list, but not joining the domain. Time and zones synchronized from the same NTP. Pass isn't complex. Reboot not working:/