V7 - Single Sign On funktioniert nicht

Hallo,

wir haben eine neue V7 Umgebung aufgesetzt und in dieser Ubuntu 18.04 und Windows 10 Pro Clients am Laufen. Leider funktioniert das SSO in keinem der Images.

Ubuntu: Proxy ist eingetragen, aber die Authentifizierung findet nicht automatisch statt. (Eintragen in die NoProxy-Gruppe, Umgebungsvariablen anpassen und Proxy Authentifizierung im Browser funktionieren als temp. Workaround)

Windows: hier wurde der Proxy nicht automatisch eingetragen & macht manuell aktuell Probleme. Sobald ich ihn manuell eintragen konnte, teste ich SSO.

Muss in den Clients etwas manuell angepasst oder installiert werden, damit SSO funktioniert?

LG
Xandra

Hallo Xandra,

Muss in den Clients etwas manuell angepasst oder installiert werden,
damit SSO funktioniert?

nein, aber an der opnsense.
Hast du das gemacht?

LG

Holger

Hallo Holger,

ja, der Anleitung bin ich gefolgt und der Test kommt auch erfolgreich zurück.
SSO macht aber trotzdem Probleme.

Gibt es sonst nichts mehr zu beachten?

LG
Xandra

Hallo Xandra,

Gibt es sonst nichts mehr zu beachten?

an Windows mußt du in den systemeinstellungen den Proxy eintragen:
firewall.mein.domäne.lan Port 3128
für alle Protokolle
und Ausnahmen für das lokale Netz.

Im Firefox muss eingestellt sein, dass der systemproxy verwendet wird.

Im Linuxclient brauchst du nix machen: das erledigt alles
linuxmuster-client-adsso

LG

Holger

Hallo Holger

Windows hab ich grade nicht vor mir um nochmals zu testen, aber am Freitag ging es trotz eingetragenem Proxy nicht. Ich schau aber gleich nochmals.

Bei den Linuxclients (von euch bereitgestelltes Image) geht SSO ebenfalls nicht.
Wenn ich Firefox öffne, frag dieser immer nach dem Login.

LG
Xandra

Habe den Fehler wohl gefunden. Nachdem ich die Zeitsynchronisation zum Laufen gebracht habe, ging der SSO.

Hallo,

ich hab Heute die opnsense restartet: danach war der Dienst „WebProxy“
nicht eingeschaltet…

LG

Holger

Hi,

bin grad am Verzweifeln. Der SingleSignOn klappt bei Windows nicht.

  • Proxy als 10.0.0.254 3128 in Windows eingetragen
  • Im FF „systemproxy“ eingestellt.

Als Global-Admin bekomme ich immer den authentifizierungs-Dialog vom Proxy.
Da ich noch vor den defprof stehe, kann ich es mit einem Domainuser nur testen, indem ich bei dem dann auch manuell den Systemproxy setzte … gleicher Fehler …

Ideen?

Bei linux geht es …

VG
Wolfgang

Hallo Wolfgang!

Überprüfe mal die Uhrzeiten.

Aktualisiere mal Linbo mit der von Thomas bereitgestellten neuen Version sollte es das Problem nicht mehr geben.

Beste Grüße

Thorsten

Hi,

mach ich …

Uhrzeit ist immer relativ :slight_smile: Ich hatte nen -2h offset in Windows, den ich durch einen Registryeintrag „behoben“ habe. Stimmt die Zeit dann oder tut sie nur so …?

Wo ist der Zusammenhang mit Linbo?

VG
Wolfgang

Ok … es wird schlimmer …

Um die Funktionsfähigkeit vom Radius auf der OPNsense zu testen, hab ich die freeradius-utils auf dem Server installiert. Alle Tests funktionierten … ok.

Jetzt komm ich in die Schule und stelle fest, der sso auch unter Linux nicht mehr geht. Gestern abend ging er noch. In der Zwischenzeit hab ich an den Clients sicher nichts verändert und auf dem Server nur das neue Linbo, die freeradius-utils und Druckertreiber von Cups.

Woran liegt so was?
Die Zeit vom Server und die vom Client unterscheiden sich um die (üblichen) 2 Stunden. Der Client hat die richtige Zeit, der Server die falsche (-2, also UTC)

VG
Wolfgang

Hi
ich muss das Thema nochmal aufgreifen, da ich aktuell weder von Linux noch von Windows am Proxy vorbei komme.
Ich hab die betreffenden Rechner in der „noProxy“ Gruppe (Alias) der Firewall stehen,
laufe aber auf den Anmeldedialog auf.

Mit einem Ping komme ich allerdings raus … jedoch nur über IP und nicht über DNSname …

Ist jetzt ECHT schlecht für morgen :frowning:

Zeitvergleich von server und client via timedatectl liefert exakt die gleiche Ausgabe.

VG
Wolfgang

Hallo Wolfgang,

hast du SSO in der OPNsense nach dieser Anleitung aktiviert?

Steht in der proxydefinition in Windows
firewall.dein.domain
drin.
Dort sollte nicht
10.0.0.254
stehen, sondern der Name der Firewall.

Viele Grüße

Holger

… muss ich nachsehen.

Das sollte aber Linux nicht betreffen :slight_smile: oder ist es dort analog?

VG
Wolfgang

Also bei Linux ist es korrekt eingetragen und dennoch kein Zugriff :frowning:

Windows untersuche ich gerade …

und das mit der Anleitung checke ich auch nochmal, nicht dass wieder Fragen offen bleiben :slight_smile:

Ja, bei Windows steht es falsch drinnen und wenn man da den FQDN einträgt, dann geht es (zumindest auf dem Testrechner).

Super - und das bei meinen Windows-Clone-Problemen …

Bleibt das Linux-Problem …

(und mehr als 3 aufeinanderfolgende Antworten sind hier nicht erlaubt …)

Hi,

bei Linux kannst Du dich als Domain user anmelden aber Internet funktioniert dann nicht und FF verlang nach auth? Kannst mal im Terminal ein kinit machen und ein datetimectl?

LG
Andreas

Hi,

die Szenarien haben etwas gewechselt …

Was ist passiert (noch ungeklärt warum) …

Ich habe alle Tests auf dem Client mit MEINEM Domain-Account gemacht und hatte kein Internet (d.h. den Anmeldedialog).

Hab dann an der Stelle gestern aufgegeben und heute Morgen panische Anrufe bekommen, dass sich niemand anmelden konnte. Ich teste remote - geht.

Auflösung (teilweise): Ich hatte in meinen Postings vergessen (weil das für mich so normal ist), dass ich ein dualboot-Szenario verwenden will. Auf alle Fälle waren alle Linux-Clients nicht mehr in der Domäne!
(ICH konnt mich mit meinem Dom-Konto als Lehrer aber anmelden).

Ich hab dann auf die Schnelle alle Linuxclients in die Domäne geschoben und schon ging die Anmeldung …

Im Nachklatsch hab ich dann feststellen müssen, dass beim Linuxadmin aktuell „no-proxy“ konfiguriert ist … also dennoch kein Internet, aber behebbar. Wenn ich das anders einstelle, dann komm ich ins Internet. Muss das jetzt nur allen Benutzern noch unterjubeln.

Damit ist die Linux-Baustelle erstmal erledigt.

Was allerdings weiterhin „zickt“, ist der Windows SSO am Proxy. Hier hab ich grad 2 Probleme:

  1. Muss ich die Eigenschaften der Lan-Verbindung als lokaler Admin setzen, oder als global-admin? Aktuell werden diese Einstellungen anscheinend mit defprof nicht an neue User weitergegeben. Aber da kann ich auch noch nen Fehler gemacht haben - das Teste ich morgen.

  2. Wenn ich dann als User diese Proxy-Einstellungen vornehme, dann
    bekomme ich den Anmeldedialog und keinen SSO. Als ich dachte, ich hätte das gelöst, da war der Client noch in der noproxy-Gruppe und da ist das nicht aufgefallen. Da sich die Benutzer anmelden können, muss der DomJoin ja eigentlich korrekt sein. Mir fehlt aber der Ansatz, diesen Dialog-Fehler zu debuggen. Die Logs der OPNSense geben nichts her :frowning:

  3. Ist ein „raus aus der Domäne in eine Workgroup“ - „rein in die Domäne“ machbar, ohne was am Image zu schrotten?

VG
Wolfgang

Ich habe gerade einen schlimmen, schlimmen Verdacht …
Meine Dummheit …

Wenn ich die Rechner neu machen - mit linbo-remote,
dann lautet meine Optionenreihenfolge:

partition format initcache sync:1 sync:2

… und dann machen ich einen start:1 … und da da windows = 1 und Linux=2 ist, wirft das sync:2 oben das Windows aus der Domäne … damit KANN es wohl nicht gehen …

Bleibt die Frage, warum die Proxy-Einstellung nicht weitergereicht wird, aber das ist wohl das kleinere Problem …

VG
Wolfgang

Hallo Wolfgang,

Wenn ich die Rechner neu machen - mit linbo-remote,
dann lautet meine Optionenreihenfolge:

partition format initcache sync:1 sync:2

… und dann machen ich einen start:1 … und da da windows = 1 und Linux=2
ist, wirft das sync:2 oben das Windows aus der Domäne … damit KANN es
wohl nicht gehen …

korrekt.

Bleibt die Frage, warum die Proxy-Einstellung nicht weitergereicht wird,
aber das ist wohl das kleinere Problem …

ich hab die Einstellung als global-admin gemacht und nach reboot und als
lokaler admin mittels
defprof global-admin
das Profil kopiert: alles gut so: proxysettings sind beim normalen user da.

Noch ein Hinweis zu deinem: du kannst dich unter linux mit deinem
Domuser anmelden aber andere nicht Problem:
ich vermute, dein user ist im Image: das darf nicht sein.

Also sync mal einen Clietn und schau nach ob unter /home/cach/ dein
usernamen steht (… oder wo ist der lokal cache?)

LG

Holger