[9.191][BUG] OWA login via WAF fails with "Unknown username and or password"

Hi there,

I've found a workaround for this issue. Exchange and sharepoint use the underlaying IIS for the basic authentication. We could set a default domain name in the authentication area from the IIS. For an example:

In IIS 7.5 mark the virtual Directory and choose then on the right site authentication.

In the context menu from basic authentication choose edit. There you can type you internal domainname and a realm. See attached image.

With this configuration in IIS and the basic/basic or formbased/basic setting in the utm the authentication is working without a problem. We don't need the domainname in this scenario [[[:)]]]

Therfore OWA login with just the username is running perfectly with AD groups. The delegation also works [[[:)]]]

So, sharepoint and all other IIS based systems will work with this settings [[[:)]]]

Just preconfigured smartphones with Domain and username must be changed the standard settings. This could be a pain in large companys.

I tried the above fix it does not work for me. I am using the logon username with no domain name before it. I'm running exchange 2010 and have no issues with active-sync. OWA however intermittently works. The page half renders sometimes with broken links or missing images and other times renders fine. The log file states password mismatch intermittently as well here's the log of what I'm seeing.

2014:04:15-23:13:17 firewall reverseproxy: srcip="50.77.188.22" localip="215.12.15.81" size="136" user="myusername" host="50.77.188.22" method="POST" statuscode="200" reason="-" extra="-" exceptions="-" time="73551" url="/owa/ev.owa" server="mail.domain.com" referer="mail.domain.com/.../;httponly;secure"
 
2014:04:15-23:13:18 firewall reverseproxy: srcip="50.77.188.22" localip="215.12.15.81" size="3736" user="myusername" host="50.77.188.22" method="POST" statuscode="200" reason="-" extra="-" exceptions="-" time="74864" url="/owa/ev.owa" server="mail.domain.com" referer="mail.domain.com/.../;httponly;secure"
 
2014:04:15-23:13:48 firewall reverseproxy: [Tue Apr 15 23:13:48.040313 2014] [auth_form:error] [pid 31807:tid 4089391984] [client 50.77.188.22:49226] AH01807: user 'myusername': authentication failure for "/owa/ev.owa": password Mismatch, referer: https://mail.domain.com/owa/
 
2014:04:15-23:13:48 firewall reverseproxy: [Tue Apr 15 23:13:48.040351 2014] [auth_form:error] [pid 31807:tid 4089391984] [client 50.77.188.22:49226] AH01807: user 'myusername': authentication failure for "/owa/ev.owa": password Mismatch, referer: https://mail.domain.com/owa/ 

Any help would be appreciated. I also should mention the rules for this have not been changed and OWA through Sophos with Sophos doing form authentication was working just fine in version 9.192008 we didn't update for awhile due to the bug but had not choice with the recent Heartbleed openssl bug.

Hi,

unfortunately, the 'password mismatch' error is at the moment the only error message for all that can go wrong with reverse authentication. Can you please enable debug logging?

Therefore edit /var/chroot-reverseproxy/usr/apache/conf/httpd.conf:

"LogLevel notice authn_aua[:D]ebug"

And restart the WAF afterward.

Best,
 Sabine

Hi,

unfortunately, the 'password mismatch' error is at the moment the only error message for all that can go wrong with reverse authentication. Can you please enable debug logging?

Therefore edit /var/chroot-reverseproxy/usr/apache/conf/httpd.conf:

"LogLevel notice authn_aua[:D]ebug"

And restart the WAF afterward.

Best,
 Sabine

I turned on debug logging below is the log when the issue is occurring. 

2014:04:16-08:41:43 firewall reverseproxy: [Wed Apr 16 08:41:43.787627 2014] [authn_aua[:D]ebug] [pid 27762:tid 4106177392] mod_authnz_aua.c(193): [client 50.77.188.22:53258] found cache entry for user 'myusername' and password 'mypassword' given by client is correct
 
2014:04:16-08:41:43 firewall reverseproxy: [Wed Apr 16 08:41:43.787634 2014] [authn_aua[:D]ebug] [pid 27762:tid 4106177392] mod_authnz_aua.c(208): [client 50.77.188.22:53258] accessed path is not whitelisted
 
2014:04:16-08:41:43 firewall reverseproxy: [Wed Apr 16 08:41:43.787637 2014] [authn_aua[:D]ebug] [pid 27762:tid 4106177392] mod_authnz_aua.c(256): [client 50.77.188.22:53258] found match: REF_DefaultLdapUserGroup
 
2014:04:16-08:41:43 firewall reverseproxy: [Wed Apr 16 08:41:43.787639 2014] [authn_aua[:D]ebug] [pid 27762:tid 4106177392] mod_authnz_aua.c(292): [client 50.77.188.22:53258] found valid (timeout) session for user 'myusername'
 
2014:04:16-08:41:43 firewall reverseproxy: [Wed Apr 16 08:41:43.787641 2014] [authn_aua[:D]ebug] [pid 27762:tid 4106177392] mod_authnz_aua.c(329): [client 50.77.188.22:53258] session is valid (lifetime) for user 'myusername'
 
2014:04:16-08:41:43 firewall reverseproxy: [Wed Apr 16 08:41:43.788698 2014] [authn_aua[:D]ebug] [pid 28033:tid 4080999280] mod_authnz_aua.c(166): [client 50.77.188.22:53273] no session found for user 'myusername', referer: https://mail.domain.com/owa/
 
2014:04:16-08:41:43 firewall reverseproxy: [Wed Apr 16 08:41:43.788706 2014] [authn_aua[:D]ebug] [pid 28033:tid 4080999280] mod_authnz_aua.c(170): [client 50.77.188.22:53273] credentials not from submitted form, forcing re-login, referer: https://mail.domain.com/owa/
 
2014:04:16-08:41:43 firewall reverseproxy: [Wed Apr 16 08:41:43.788711 2014] [auth_form:error] [pid 28033:tid 4080999280] [client 50.77.188.22:53273] AH01807: user 'myusername': authentication failure for "/owa/14.3.174.1/themes/resources/clear1x1.gif": password Mismatch, referer: https://mail.domain.com/owa/
 
2014:04:16-08:41:43 firewall reverseproxy: srcip="50.77.188.22" localip="215.12.15.81" size="209" user="myusername" host="50.77.188.22" method="GET" statuscode="302" reason="-" extra="-" exceptions="-" time="17357" url="/owa/14.3.174.1/themes/resources/clear1x1.gif" server="mail.domain.com" referer="mail.domain.com/.../;httponly;secure"
 
2014:04:16-08:41:43 firewall reverseproxy: srcip="50.77.188.22" localip="215.12.15.81" size="1150" user="myusername" host="50.77.188.22" method="GET" statuscode="200" reason="-" extra="-" exceptions="-" time="39490" url="/owa/14.3.174.1/themes/resources/favicon.ico" server="mail.domain.com" referer="-" cookie="; OutlookSession=10ee4818cf564d92a4bf84521b3c26dc; UserContext=nT3WxkOIyUm-vkEKUR9J9jt-F2oILdEIEqLvBfrZFNlwBHSMwdVGema1ITmk_OgU-EU8ITL2-Og.; tzid=Eastern Standard Time; owacsdc=1" set-cookie="domain.com_cookie=dy1IpMVkEeOGzz9OsGh+e0MShvHCqGVO3NdsjmXGbfFDO55lEFnfrMGoX3flAZOrL4lksDbOLlY3VKcoNhe1lUV2mhNX+5Bk9Lfel+acdVPyTau2Ag1g+aj/Kkv5v4qM9EhV9XTzokm6HfxNAzhYMw==;path=/;httponly;secure, domain.com_cookie=dy1IpMVkEeOGzz9OsGh+e0MShvHCqGVO3NdsjmXGbfFDO55lEFnfrMGoX3flAZOrL4lksDbOLlY3VKcoNhe1lUV2mhNX+5Bk9Lfel+acdVPyTau2Ag1g+aj/Kkv5v4qM9EhV9XTzokm6HfxNAzhYMw==;path=/;httponly;secure"
 
2014:04:16-08:41:43 firewall reverseproxy: srcip="50.77.188.22" localip="215.12.15.81" size="0" user="-" host="50.77.188.22" method="GET" statuscode="304" reason="-" extra="-" exceptions="SkipURLHardening" time="21883" url="/domain.com_form" server="mail.domain.com" referer="mail.domain.com/.../;httponly;secure"
 
2014:04:16-08:41:43 firewall reverseproxy: srcip="50.77.188.22" localip="215.12.15.81" size="0" user="-" host="50.77.188.22" method="GET" statuscode="304" reason="-" extra="-" exceptions="SkipURLHardening" time="35647" url="/domain.com_form" server="mail.domain.com" referer="mail.domain.com/.../;httponly;secure"
 
2014:04:16-08:41:43 firewall reverseproxy: srcip="50.77.188.22" localip="215.12.15.81" size="0" user="-" host="50.77.188.22" method="GET" statuscode="304" reason="-" extra="-" exceptions="SkipURLHardening" time="26171" url="/domain.com_form" server="mail.domain.com" referer="mail.domain.com/.../;httponly;secure"
 
2014:04:16-08:41:43 firewall reverseproxy: srcip="50.77.188.22" localip="215.12.15.81" size="0" user="-" host="50.77.188.22" method="GET" statuscode="304" reason="-" extra="-" exceptions="SkipURLHardening" time="16432" url="/domain.com_form" server="mail.domain.com" referer="mail.domain.com/.../;httponly;secure" 
 
2014:04:16-08:41:44 firewall reverseproxy: [Wed Apr 16 08:41:44.360347 2014] [authn_aua[:D]ebug] [pid 27762:tid 3820825456] mod_authnz_aua.c(193): [client 50.77.188.22:53264] found cache entry for user 'myusername' and password 'mypassword' given by client is correct, referer: https://mail.domain.com/owa/14.3.174.1/themes/goth/premium.css
 
2014:04:16-08:41:44 firewall reverseproxy: [Wed Apr 16 08:41:44.360357 2014] [authn_aua[:D]ebug] [pid 27762:tid 3820825456] mod_authnz_aua.c(208): [client 50.77.188.22:53264] accessed path is not whitelisted, referer: https://mail.domain.com/owa/14.3.174.1/themes/goth/premium.css
 
2014:04:16-08:41:44 firewall reverseproxy: [Wed Apr 16 08:41:44.360360 2014] [authn_aua[:D]ebug] [pid 27762:tid 3820825456] mod_authnz_aua.c(256): [client 50.77.188.22:53264] found match: REF_DefaultLdapUserGroup, referer: https://mail.domain.com/owa/14.3.174.1/themes/goth/premium.css
 
2014:04:16-08:41:44 firewall reverseproxy: [Wed Apr 16 08:41:44.360363 2014] [authn_aua[:D]ebug] [pid 27762:tid 3820825456] mod_authnz_aua.c(292): [client 50.77.188.22:53264] found valid (timeout) session for user 'myusername', referer: https://mail.domain.com/owa/14.3.174.1/themes/goth/premium.css
 
2014:04:16-08:41:44 firewall reverseproxy: [Wed Apr 16 08:41:44.360365 2014] [authn_aua[:D]ebug] [pid 27762:tid 3820825456] mod_authnz_aua.c(329): [client 50.77.188.22:53264] session is valid (lifetime) for user 'myusername', referer: https://mail.domain.com/owa/14.3.174.1/themes/goth/premium.css
 
2014:04:16-08:41:44 firewall reverseproxy: [Wed Apr 16 08:41:44.360945 2014] [authn_aua[:D]ebug] [pid 27762:tid 4106177392] mod_authnz_aua.c(193): [client 50.77.188.22:53258] found cache entry for user 'myusername' and password 'mypassword' given by client is correct, referer: https://mail.domain.com/owa/14.3.174.1/themes/goth/premium.css
 
2014:04:16-08:41:44 firewall reverseproxy: [Wed Apr 16 08:41:44.360954 2014] [authn_aua[:D]ebug] [pid 27762:tid 4106177392] mod_authnz_aua.c(208): [client 50.77.188.22:53258] accessed path is not whitelisted, referer: https://mail.domain.com/owa/14.3.174.1/themes/goth/premium.css
 
2014:04:16-08:41:44 firewall reverseproxy: [Wed Apr 16 08:41:44.360957 2014] [authn_aua[:D]ebug] [pid 27762:tid 4106177392] mod_authnz_aua.c(256): [client 50.77.188.22:53258] found match: REF_DefaultLdapUserGroup, referer: https://mail.domain.com/owa/14.3.174.1/themes/goth/premium.css
 
2014:04:16-08:41:44 firewall reverseproxy: [Wed Apr 16 08:41:44.360959 2014] [authn_aua[:D]ebug] [pid 27762:tid 4106177392] mod_authnz_aua.c(292): [client 50.77.188.22:53258] found valid (timeout) session for user 'myusername', referer: https://mail.domain.com/owa/14.3.174.1/themes/goth/premium.css
 
2014:04:16-08:41:44 firewall reverseproxy: [Wed Apr 16 08:41:44.360962 2014] [authn_aua[:D]ebug] [pid 27762:tid 4106177392] mod_authnz_aua.c(329): [client 50.77.188.22:53258] session is valid (lifetime) for user 'myusername', referer: https://mail.domain.com/owa/14.3.174.1/themes/goth/premium.css
 
2014:04:16-08:41:44 firewall reverseproxy: srcip="50.77.188.22" localip="215.12.15.81" size="209" user="myusername" host="50.77.188.22" method="GET" statuscode="302" reason="-" extra="-" exceptions="-" time="17798" url="/owa/14.3.174.1/themes/goth/gradienth.png" server="mail.domain.com" referer="mail.domain.com/.../;httponly;secure"
 
2014:04:16-08:41:44 firewall reverseproxy: srcip="50.77.188.22" localip="215.12.15.81" size="209" user="myusername" host="50.77.188.22" method="GET" statuscode="302" reason="-" extra="-" exceptions="-" time="18071" url="/owa/14.3.174.1/themes/goth/gradientv.png" server="mail.domain.com" referer="mail.domain.com/.../;httponly;secure"
 
2014:04:16-08:41:44 firewall reverseproxy: srcip="50.77.188.22" localip="215.12.15.81" size="136" user="myusername" host="50.77.188.22" method="GET" statuscode="200" reason="-" extra="-" exceptions="-" time="46623" url="/owa/14.3.174.1/themes/goth/headerbgright.png" server="mail.domain.com" referer="mail.domain.com/.../;httponly;secure"
 
2014:04:16-08:41:44 firewall reverseproxy: srcip="50.77.188.22" localip="215.12.15.81" size="29046" user="myusername" host="50.77.188.22" method="GET" statuscode="200" reason="-" extra="-" exceptions="-" time="47388" url="/owa/14.3.174.1/themes/goth/headerbgmain.png" server="mail.domain.com" referer="mail.domain.com/.../;httponly;secure"
 
2014:04:16-08:41:44 firewall reverseproxy: [Wed Apr 16 08:41:44.403900 2014] [authn_aua[:D]ebug] [pid 28033:tid 4047428464] mod_authnz_aua.c(166): [client 50.77.188.22:53276] no session found for user 'myusername', referer: https://mail.domain.com/owa/
 
2014:04:16-08:41:44 firewall reverseproxy: [Wed Apr 16 08:41:44.403907 2014] [authn_aua[:D]ebug] [pid 28033:tid 4047428464] mod_authnz_aua.c(170): [client 50.77.188.22:53276] credentials not from submitted form, forcing re-login, referer: https://mail.domain.com/owa/
 
2014:04:16-08:41:44 firewall reverseproxy: [Wed Apr 16 08:41:44.403910 2014] [auth_form:error] [pid 28033:tid 4047428464] [client 50.77.188.22:53276] AH01807: user 'myusername': authentication failure for "/owa/14.3.174.1/scripts/premium/startpage.js": password Mismatch, referer: https://mail.domain.com/owa/
 
2014:04:16-08:41:44 firewall reverseproxy: [Wed Apr 16 08:41:44.410437 2014] [authn_aua[:D]ebug] [pid 28033:tid 4064213872] mod_authnz_aua.c(166): [client 50.77.188.22:53270] no session found for user 'myusername', referer: https://mail.domain.com/owa/
 
2014:04:16-08:41:44 firewall reverseproxy: [Wed Apr 16 08:41:44.410443 2014] [authn_aua[:D]ebug] [pid 28033:tid 4064213872] mod_authnz_aua.c(170): [client 50.77.188.22:53270] credentials not from submitted form, forcing re-login, referer: https://mail.domain.com/owa/
 
2014:04:16-08:41:44 firewall reverseproxy: [Wed Apr 16 08:41:44.410446 2014] [auth_form:error] [pid 28033:tid 4064213872] [client 50.77.188.22:53270] AH01807: user 'myusername': authentication failure for "/owa/14.3.174.1/scripts/premium/uview.js": password Mismatch, referer: https://mail.domain.com/owa/
 
2014:04:16-08:41:44 firewall reverseproxy: srcip="50.77.188.22" localip="215.12.15.81" size="209" user="myusername" host="50.77.188.22" method="GET" statuscode="302" reason="-" extra="-" exceptions="-" time="17411" url="/owa/14.3.174.1/scripts/premium/startpage.js" server="mail.domain.com" referer="mail.domain.com/.../;httponly;secure"
 
2014:04:16-08:41:44 firewall reverseproxy: srcip="50.77.188.22" localip="215.12.15.81" size="209" user="myusername" host="50.77.188.22" method="GET" statuscode="302" reason="-" extra="-" exceptions="-" time="18907" url="/owa/14.3.174.1/scripts/premium/uview.js" server="mail.domain.com" referer="mail.domain.com/.../;httponly;secure"
 
2014:04:16-08:41:44 firewall reverseproxy: [Wed Apr 16 08:41:44.422897 2014] [authn_aua[:D]ebug] [pid 28033:tid 4080999280] mod_authnz_aua.c(166): [client 50.77.188.22:53273] no session found for user 'myusername', referer: https://mail.domain.com/owa/
 
2014:04:16-08:41:44 firewall reverseproxy: [Wed Apr 16 08:41:44.422904 2014] [authn_aua[:D]ebug] [pid 28033:tid 4080999280] mod_authnz_aua.c(170): [client 50.77.188.22:53273] credentials not from submitted form, forcing re-login, referer: https://mail.domain.com/owa/
 
2014:04:16-08:41:44 firewall reverseproxy: [Wed Apr 16 08:41:44.422906 2014] [auth_form:error] [pid 28033:tid 4080999280] [client 50.77.188.22:53273] AH01807: user 'myusername': authentication failure for "/owa/14.3.174.1/scripts/premium/vlv.js": password Mismatch, referer: https://mail.domain.com/owa/
 
2014:04:16-08:41:44 firewall reverseproxy: srcip="50.77.188.22" localip="215.12.15.81" size="209" user="myusername" host="50.77.188.22" method="GET" statuscode="302" reason="-" extra="-" exceptions="-" time="18796" url="/owa/14.3.174.1/scripts/premium/vlv.js" server="mail.domain.com" referer="mail.domain.com/.../;httponly;secure"

Hi,

I could not reproduce your issue and I don't see what's going wrong. 

Is 'myusername' always the same user?

Does anything else happens between these two log lines?

2014:04:16-08:41:43 firewall reverseproxy: [Wed Apr 16 08:41:43.787641 2014] [authn_aua[:D]ebug] [pid 27762:tid 4106177392] mod_authnz_aua.c(329): [client 50.77.188.22:53258] session is valid (lifetime) for user 'myusername'

2014:04:16-08:41:43 firewall reverseproxy: [Wed Apr 16 08:41:43.788698 2014] [authn_aua[:D]ebug] [pid 28033:tid 4080999280] mod_authnz_aua.c(166): [client 50.77.188.22:53273] no session found for user 'myusername', referer: https://mail.domain.com/owa/

Best,
 Sabine

Yes, In the log you'll see certain objects from exchange load successfully and it knows im logged in while other objects do not load this results in an exchange page that only half renders on the users web browser. Not going through the Sophos device the page renders fine. Also sometimes clicking refresh multiple times on the browser will allow the page to render correctly. The no session found errors are at random. We started out with the first beta and have been upgradeing ever since I have to wonder since you can't replicate the issue if we should concider going to the latest ISO and then restore from backup to see if something maybe happend with the many times we've updated.


This issue happens no matter who is logged in whether it's the account listed above or our userbase ever since we ran the latest update we have had lot's of phone calls about our Outlook Web App being unusuable.

I've attached two images of what the OWA looks like as well. The first shows a properly rendered page telling me the session has expired. The second page shows a half rendered page missing images near the inbox and header that is unusuable.

I think, in this case you should take the support path because your problem needs deeper investigation. 

Best,
 Sabine