Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 6418 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Multiple Authentication (RADIUS) Possible

knebroski
Hi, Currently I'm running 3 different authentication servers.  Active directory, eDirectory and 1 RADIUS server.  Each one is authenticating the user for a specific task using a slightly different user login format.
I have been using the eDirectory server to authenticate user into the portal almost solely for email functions.  The AD and Radius are being used for VPN access.

I'm in the process of phasing out the edirectory server and would like to move that function over to a new (non-windows based) RADIUS server.  During the conversion some users will authenticate into the portal via the edirectory server and some (different domain) will authenticate against the new RADIUS server.

This all seems to work individually, but when everything is turned on, authentication doesn't work.  So first is it possible to have 2 RADIUS servers running?  And if so, does the order in the list matter (I've read other threads where RADIUS should be first)?  With all three running, VPN in does not work, even with the new RADIUS server at the bottom, as soon as I disable it VPN starts up again.
Hope someone can point me in the right direction.
Thanks


This thread was automatically locked due to age.
Parents
  • 0
    K, 

    RADIUS authentication doesn't populate anything if you auto-create a local user from it.  I bet you could activate the RADIUS server on your eDirectory machine and get rid of those other two servers.

    I bet what I call Rule #6 also applies to eDirectory:

    There are only three reasons to sync users from AD to the ASG/UTM:

    • The user should be able to log on to a Remote Access VPN that uses certificates to authenticate the user.
    • Email Protection is enabled and the user should receive Quarantine Reports and be able to manage personal black/whitelists.
    • You want to do Reporting by Department for Web Protection (and I consider it a bug to require this when doing AD-SSO).

    There's no other reason to sync users to WebAdmin - certainly not with AD-SSO.



    Cheers - Bob
  • 0 in reply to BAlfson
    Bob,
    The edirectory server is on it's last legs, hopefully it last long enough to move all my email users over to the new Linux server.  Once dead, may it RIP never to run eDir again.  The new radius server is on that same Linux box, and I was hoping to use it to link/authenticate for Quarantine reports, etc, nothing else.  The other (existing) radius server is running on Windows server, and is used just for pptp access (the windows and Linux boxes are not linked).  There maybe a better way to do this, but I haven't found it yet.

    Right now, the user portal is authenticating against the eDir server, when a new email user logs in, the Sophos box auto-generates the user and populates the "Username", "Real Name" and "Email address" fields.  When I use the Radius server those fields are never filled in.  So the user logs in OK, but never sees any quarantine data.  Some of the docs I read about the freeRadius server says you can send back additional info to the querying NAS (in this case the Sophos UTM) but I don't know what the UTM is looking for.
    So to recap, the eDir server is going. We will have a Windows RADIUS server for the pptp authentication, and as far as the mail quarantine info, if this new RADIUS server won't work, I'll have to enter all the user ID's/passwords in manually.

    K
Reply
  • 0 in reply to BAlfson
    Bob,
    The edirectory server is on it's last legs, hopefully it last long enough to move all my email users over to the new Linux server.  Once dead, may it RIP never to run eDir again.  The new radius server is on that same Linux box, and I was hoping to use it to link/authenticate for Quarantine reports, etc, nothing else.  The other (existing) radius server is running on Windows server, and is used just for pptp access (the windows and Linux boxes are not linked).  There maybe a better way to do this, but I haven't found it yet.

    Right now, the user portal is authenticating against the eDir server, when a new email user logs in, the Sophos box auto-generates the user and populates the "Username", "Real Name" and "Email address" fields.  When I use the Radius server those fields are never filled in.  So the user logs in OK, but never sees any quarantine data.  Some of the docs I read about the freeRadius server says you can send back additional info to the querying NAS (in this case the Sophos UTM) but I don't know what the UTM is looking for.
    So to recap, the eDir server is going. We will have a Windows RADIUS server for the pptp authentication, and as far as the mail quarantine info, if this new RADIUS server won't work, I'll have to enter all the user ID's/passwords in manually.

    K
Children
No Data