[9.171] Web protection Standard SSO

Please note this is off the top of my head.  Testing may prove it otherwise.

If you have "AD SSO" configured.  It will attempt an HTTP Authentication Negotiate (NTLM or Kerberos).  The browser will send back the currently logged in user.  This UTM will reply with a fail since it is not an AD user.  The browser then does a pop-up asking for new credentials, which it will try.  The UTM will only accept AD credentials.  Therefore the user must know a valid AD username/password, but does not need to be using that login on that computer.

9.180 will bring in a new option "Block access on authentication failure" (on by default).  If you turn this off then after the first Authentication challenge fails it will just allow the user as an unauthenticated user.

I don't believe there is a way to do both AD SSO and locally authenticated users at the same time (aside from browser authentication or the insecure Basic Authentication).  If you want, rather than creating special users on the UTM for authentication, do them in AD (you can even use an AD Guest account with publically known password).

Note: Some browsers will store credentials that were used in a pop-up.  If you are not getting what you expect double check in your password manager that you don't have a saved user/pass.

Please note this is off the top of my head.  Testing may prove it otherwise.

If you have "AD SSO" configured.  It will attempt an HTTP Authentication Negotiate (NTLM or Kerberos).  The browser will send back the currently logged in user.  This UTM will reply with a fail since it is not an AD user.  The browser then does a pop-up asking for new credentials, which it will try.  The UTM will only accept AD credentials.  Therefore the user must know a valid AD username/password, but does not need to be using that login on that computer.

9.180 will bring in a new option "Block access on authentication failure" (on by default).  If you turn this off then after the first Authentication challenge fails it will just allow the user as an unauthenticated user.

I don't believe there is a way to do both AD SSO and locally authenticated users at the same time (aside from browser authentication or the insecure Basic Authentication).  If you want, rather than creating special users on the UTM for authentication, do them in AD (you can even use an AD Guest account with publically known password).

Note: Some browsers will store credentials that were used in a pop-up.  If you are not getting what you expect double check in your password manager that you don't have a saved user/pass.

...thanks for update. I have latest 9.171 and Block on authentication failure is already available. As you advised regarding "general"  domain username for guest access is what I want to have. The problem is that browser is not offer login window if I connect to proxy with non domain computer and user. I got only blocked access if Block on authentication failure is enabled or I could browse normally if Block.... option is disabled. I was wondering if there were some changes regarding the "normal" authentication where browser pop up login window if current user could not be authenticated against AD. I do not use any password caching options in browser. Maybe an option to choose the action if SSO is not available colud be solution....similar like on SWA...web appliance, where it is possible to use also captive portal for guest authentication.