Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 22 replies
  • Subscribers 0 subscribers
  • Views 9178 views
  • Users 0 members are here
Options
Suggested

[9.165] Web filtering profiles SSO authentication

Rok
Hi!
I have some problems with new web transparent mode and SSO authentication. I set the web profile for one user where transparent mode with SSO is enabled (UTM is connected to AD, user login on UTM is working), but any of my browsers always started with login window (tested on Xp, W7 and W8). I am guessing utm should get logged username and set the IP for it, but I am not sure how long this "relation" is cached. In web log the user field is empty, so please advise what should I check that utm could recognise logged user instead prompting for login in browser.

Thanks,
Rok
Parents
  • 0
    Here's a quick run-down on how the AD SSO handshake in Transparent mode works:
     * Browser sends HTTP request, which is transparently intercepted by the UTM
     * UTM redirects the HTTP request to the FQDN of the UTM (port 80)
     * UTM sends a 401 response to challenge for authentication. 
     * Browser replies with a ticket or credentials to complete the handshake
     * UTM caches the authenticated user with the source IP address
     * Browser gets redirected to original site

    One caveat here, is that the UTM's hostname must be a fqdn within the local AD domain, so that your browser will consider it to be a site in the local Intranet zone. It will then respond to auth requests from the UTM transparently.
Reply
  • 0
    Here's a quick run-down on how the AD SSO handshake in Transparent mode works:
     * Browser sends HTTP request, which is transparently intercepted by the UTM
     * UTM redirects the HTTP request to the FQDN of the UTM (port 80)
     * UTM sends a 401 response to challenge for authentication. 
     * Browser replies with a ticket or credentials to complete the handshake
     * UTM caches the authenticated user with the source IP address
     * Browser gets redirected to original site

    One caveat here, is that the UTM's hostname must be a fqdn within the local AD domain, so that your browser will consider it to be a site in the local Intranet zone. It will then respond to auth requests from the UTM transparently.
Children
  • 0 in reply to AlanT_01
    Thanks AlanT for explanation...I have just tested to add UTM's site name (which is FQDN name in my internal domain with DNS record) to the Intranet zone pages in IE and now it works as it should. I will try to investigate where is the problem with browsers - not finding UTM as intranet zone member.

    Thanks, Rok
  • 0 in reply to AlanT_01
    Here's a quick run-down on how the AD SSO handshake in Transparent mode works:
     * Browser sends HTTP request, which is transparently intercepted by the UTM
     * UTM redirects the HTTP request to the FQDN of the UTM (port 80)
     * UTM sends a 401 response to challenge for authentication. 
     * Browser replies with a ticket or credentials to complete the handshake
     * UTM caches the authenticated user with the source IP address
     * Browser gets redirected to original site

    One caveat here, is that the UTM's hostname must be a fqdn within the local AD domain, so that your browser will consider it to be a site in the local Intranet zone. It will then respond to auth requests from the UTM transparently.


    Thanks for the explanation... but for this kind of approach the browser must support NTLM authentication, correct ?

    The bad thing in this kind of implementation is that any other app that´s not a browser usually doesn´t work.....

    ps: Sophos really does like to be the "man in the middle" huh? kkkk (kidding)...
Unfiltered HTML