Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 12 replies
  • Subscribers 0 subscribers
  • Views 1954 views
  • Users 0 members are here
Options
Suggested

7.080 AD SSO Not Working?

rrimmer
I have applied the 7.080 patch today and can now join my ASG320 device to our AD domain successfully but can not get through the proxy using AD authentication. 

I successfully configured and tested edirectory which worked straight away.

Here's what I have done:

Checked time zone and actual time on the DC and the ASG Device (Both set to UK and displaying identical time).

Added the DC as the DNS forwarder for the ASG device.

Added an A record for the ASG device to DNS in AD (and tested that I can resolve it's hostname from my workstation).

Set the HTTP proxy to AD SSO authentication (not limited to specific AD groups \ containers) and allowed my internal network to use it. This is configured in whitelist mode, so only our corporate website is allowed.

Created a HTTP Proxy Profile for my internal network with an allow all filter action. I have associated this with a filter assignment using AD backend membership without limiting this to "backend group membership" - i.e. any AD authenticated user can use it. The HTTP proxy profile is running in AD SSO operation mode for my subnet.

I have tried setting the proxy in my client (ie7) to the hostname of the ASG(both "hostname" and "hostname.domain.co.uk") and to the ASG's IP address but get an authentication window pop up. This will then not allow me to authenticate.

Am I missing something here??

Thanks.
Parents
  • 0
    Please send us the log file (/var/log/http.log) output that is produced when a proxy connect fails (so, when you get the auth popup).
  • 0 in reply to rrimmer
    What is the domain name you entered when joining the domain? According to this line:


    2007:11:15-08:56:45 (none) httpproxy[4297]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="adir_auth_init" file="auth_adir.c" line="197" message="gss_acquire_cred host/paddy.stack.co.uk@AD: No such file or directory"


    it is just "AD" which seems a bit short ... it should be something like "intranet.paddy.stack.co.uk" or similar ...

    This lead to the follow-up error:


    2007:11:15-09:13:26 (none) httpproxy[4297]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x81686b0" function="auth_adir_auth_crap_callback" file="auth_adir.c" line="719" message="winbindd request failed (NT_STATUS_LOGON_FAILURE)"
  • 0 in reply to tom_01
    Hi Tom,

    In Users | Authentication | Active Directory, I did the following:

    Server - Specified a DC
    Port - 389
    Bind User DN - CN=Administrator,CN=Users,DC=Stack,DC=co,DC=uk

    Once the password was entered and this applied it activated the SSO box below, where I entered the following:

    Domain - ad.stack.co.uk
    Username - Administrator

    I then entered the password and applied and got the message that I had joined the domain. 
    The Box now shows "Status: Joined domain ad.stack.co.uk."

    Thanks
    Richard
Reply
  • 0 in reply to tom_01
    Hi Tom,

    In Users | Authentication | Active Directory, I did the following:

    Server - Specified a DC
    Port - 389
    Bind User DN - CN=Administrator,CN=Users,DC=Stack,DC=co,DC=uk

    Once the password was entered and this applied it activated the SSO box below, where I entered the following:

    Domain - ad.stack.co.uk
    Username - Administrator

    I then entered the password and applied and got the message that I had joined the domain. 
    The Box now shows "Status: Joined domain ad.stack.co.uk."

    Thanks
    Richard
Children
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?