[7.080] AD SSO don't check group membership

Hi Gregor,

this is not a new issue, although it is kind of confusing.

Even if you are not using HTTP profiles you are still implicitly using a default profile. In this default profile (Web Security >> HTTP >> Content Filter) you presumably allowed access via "Allow content that does not match the criteria below." - hence users properly authenticated beforehand are allowed to use the HTTP proxy.

Although the users who have authenticated via the AD backend are not contained in the bespoken empty_group, they still are allowed to use the proxy. This is because there is no fallback action for the default proxy profile you are using. The default profile is equivalent to the fallback operation itself here.

To reach the desired behaviour, you need to employ HTTP profiles and set the default profile to block. Now the proxy will try to match the user to the empty_group but will not find a matching HTTP profile and subsequently will fallback to the default profile - thereby blocking the user.

Cheers,
Henning

Hi Hennig,

from picture on HTTP Profiles -> Overview -> i thought that the default action is BLOCK ALL. 

But the point is :
without specific http profiles, the the proxy allow all ad user to use it.

For my opinion the normal way of proxy authentification should be :
1. check user/pass against backend , if false,  no go
2. if limited to backend group membership check if this user is member of group , if false, no go
3. check content, if not allowed , no go


Gregor Kemter