Multiple Authentication (RADIUS) Possible

Hi,

possibly you have the same issue that we had. The radius service has a quite short timeout (3 sec.) and our radius server was a bit unreliable with this. I changed the timeout value for it to 10 seconds and now it works reliable. The problem is that you have to change that directly in the config files wich void the support contract and does not survive some up2dates (means you have to check that after an update again). The config file is somewhere in /etc/aua and you have to restart the aua agent (~ aua.plx restart - something like this) after the change (I'm not in my office so I can't give ypu the exact names). Maybe you want to try this. In general it is possible to have more than one radius server as long as every username exists only on one server.

Regards
Manfred

Manfred, I checked auth, cache_lifetime$ in cc, and it's 300 seconds.  Is there something else?

Cheers - Bob

Hi Bob,

yes, it's not about the cachelifetime but about the time the radius server needs to send an answer for an auth request. If the radius server does not answer quick enough the utm interprets this as 'auth failed'. We have a rsa secure id radius server that sometimes needs 2 - 3 seconds to answer and that caused some auth requests to fail even if the user did not make a mistake. And this timeout value can be changed there - since I changed the radius timeout value I had no unclear 'auth failed' situations. Other auth mechanisms have higher timeouts there - just radius has these 3 seconds.

Regards
Manfred

Thanks guys, I will try changing that value to 10.

Funny thing, when I watch the pptp log, it shows it trying all 3 of my authentication servers always in the same order, if the user is valid and exists on the first or second server why does it even go to the third, where the user does not exist and returns a deny?

All I have to do is disable the third authentication server (new radius one) and everything works (except for the users that are maintained on the third server).

thanks,

Yeah, that sounds like a bug to me.  If you have a paid license, please get a Support ticket entered for this issue.

Cheers - Bob

Hi,

though you should contact support there might be a workarround that is used when migrating RADIUS servers: configure only one (or a 2nd if you Run HA) and have him forward requests for users that are unknown to the new one.

techno.kid

HI,
I've been busy so I haven't tried anything more.  techno kid, I would even know where to start to implement forwarding.  A little background: We have a eDirectory server that has our email and we have multiple domains (bought up companies, etc). I've been using that for the user portal authentication. The current radius server has been used for remote pptp authentication, no email stuff.   The new radius server is running freeradius on a Linux box, using MySQL for the backend.  This setup is very new and looks like it needs more customization; when a user enters their ID/password on the portal login page it will authenticate them, but the email address is not populated so none of the items (log,whitelist,etc) have any data.  If I enter the email address in manually through webadmin, the next time the user logs in, they authenticate OK, but it removes the email address and hence no data.  I've been looking to see what the portal is expecting back from the Radius to populate this but so far no luck.  So it looks like I will have to set the user portal authentication to local and manually add every ID.

K

K, 

RADIUS authentication doesn't populate anything if you auto-create a local user from it.  I bet you could activate the RADIUS server on your eDirectory machine and get rid of those other two servers.

I bet what I call Rule #6 also applies to eDirectory:

There are only three reasons to sync users from AD to the ASG/UTM:

• The user should be able to log on to a Remote Access VPN that uses certificates to authenticate the user.
  
• Email Protection is enabled and the user should receive Quarantine Reports and be able to manage personal black/whitelists.
  
• You want to do Reporting by Department for Web Protection (and I consider it a bug to require this when doing AD-SSO).

There's no other reason to sync users to WebAdmin - certainly not with AD-SSO.

Cheers - Bob

Bob,
The edirectory server is on it's last legs, hopefully it last long enough to move all my email users over to the new Linux server.  Once dead, may it RIP never to run eDir again.  The new radius server is on that same Linux box, and I was hoping to use it to link/authenticate for Quarantine reports, etc, nothing else.  The other (existing) radius server is running on Windows server, and is used just for pptp access (the windows and Linux boxes are not linked).  There maybe a better way to do this, but I haven't found it yet.

Right now, the user portal is authenticating against the eDir server, when a new email user logs in, the Sophos box auto-generates the user and populates the "Username", "Real Name" and "Email address" fields.  When I use the Radius server those fields are never filled in.  So the user logs in OK, but never sees any quarantine data.  Some of the docs I read about the freeRadius server says you can send back additional info to the querying NAS (in this case the Sophos UTM) but I don't know what the UTM is looking for.
So to recap, the eDir server is going. We will have a Windows RADIUS server for the pptp authentication, and as far as the mail quarantine info, if this new RADIUS server won't work, I'll have to enter all the user ID's/passwords in manually.

K