[9.191][BUG] OWA login via WAF fails with "Unknown username and or password"

This Mantis ID is since 26.11.2013 under investigation...

We have made some offers for some customers. This feature is most important for TMG replacement scenarios. Will these issues fixed in near future?

I hope the developers can fix these issues before the end of the beta!
If not, I must offer our customers another solution for TMG replacement.

regards
mod

Hi there,

I've taken a deeper look to my testlab. I've two domain controller in my lab. One 2008r2 DC and one 2012 DC. It seems that the authentication issue only occurs on my 2012 DC. I've disabled the 2012 DC in my UTM and now I can use ActiveSync with reverse authentication.

It's possible that my 2012 DC has a problem. I will make him new.

The OWA login with formbased authentication on the UTM has the same Problem as before. I can login If I define no sitepath for the "/owa" directory. But then my landingpage is the root directory not the "/owa" directory at the backend.

If I define the correct sitepath "/owa" in the sitepassrouting, formbased authentication don't work. The path is not redirected to the correct "/owa" directory.

This is definitive a bug.

regards
mod

Hi,

the redirect is not possible at the moment. 

However, I can't reproduce your issue with /owa and form-based authentication. 

Can you please post your configuration (Reverse Authentication profile and site paths).

Best
 Sabine

Hi Sabine,

thats all very confused. Now acitivesync don't work. The aua.log shows authentication failed for caller reverseproxy with reason="DENIED". (basic auth)

If I logon with FBA for OWA the aua.log Shows authentication sucsessfull but the waf log shows "authentication failure for "/Microsoft-Server-ActiveSync": Password Mismatch ".

I've tested all possible variations.

If you need I can give you access to SSH and webadmin for my testlab.

regards
mod

Hi there,

I've found the bug. After debugging I've found that the reverseproxy ask for the "sAMAccountName" attribute in the wrong format. See log:
[HTML]2014:01:29-17:22:29 asg aua[15620]: id="3007" severity="debug" sys="System" sub="auth" name="Trying regular bind with bind_dn and password."
2014:01:29-17:22:29 asg aua[15620]: id="3007" severity="debug" sys="System" sub="auth" name="ldapFilter: (&(objectClass=user)(objectcategory=Person)(sAMAccountName=mydom\klaus))"
2014:01:29-17:22:29 asg aua[15620]: id="3007" severity="debug" sys="System" sub="auth" name="do_auth_directory() directory authentication failed. No such user." [/HTML]

The "sAMAccountName" is not "mydom\klaus"! This is wrong, The "sAMAccountName" is just "klaus"! Therefore the DC can't find the user.

This occurs if I use basic pre authentication.

If I use FBA for OWA with username and password (without domain):

2014:01:29-18:03:44 asg aua[23596]: id="3007" severity="debug" sys="System" sub="auth" name="Trying regular bind with bind_dn and password."
2014:01:29-18:03:44 asg aua[23596]: id="3007" severity="debug" sys="System" sub="auth" name="ldapFilter: (&(objectClass=user)(objectcategory=Person)(sAMAccountName=klaus))"
2014:01:29-18:03:45 asg aua[23596]: id="3007" severity="debug" sys="System" sub="auth" name="do_auth_directory() - ldap user object returned by search:$VAR1 = bless( { 

All seems OK in aua.log.

But other problems in WAF log:

2014:01:29-18:03:45 asg reverseproxy: [Wed Jan 29 18:03:45.558377 2014] [auth_form:error] [pid 23153:tid 1497856880] [client 109.44.1.166:2307] AH01807: user 'klaus': authentication failure for "/owa": password Mismatch, referer: my.domain.tld/webmail_form

If I use FBA for OWA with domain\username and password:

2014:01:29-18:13:24 asg aua[24997]: id="3007" severity="debug" sys="System" sub="auth" name="Trying regular bind with bind_dn and password."
2014:01:29-18:13:24 asg aua[24997]: id="3007" severity="debug" sys="System" sub="auth" name="ldapFilter: (&(objectClass=user)(objectcategory=Person)(sAMAccountName=mydomain\klaus))"
2014:01:29-18:13:24 asg aua[24997]: id="3007" severity="debug" sys="System" sub="auth" name="do_auth_directory() directory authentication failed. No such user." 

Same problem like basic auth.

If I use FBA for OWA with the UPN klaus@domain.tld and password:

2014:01:29-18:18:27 asg aua[25998]: id="3007" severity="debug" sys="System" sub="auth" name="Trying regular bind with bind_dn and password."
2014:01:29-18:18:27 asg aua[25998]: id="3007" severity="debug" sys="System" sub="auth" name="ldapFilter: (&(objectClass=user)(objectcategory=Person)(sAMAccountName=klaus@domain.tld))"
2014:01:29-18:18:27 asg aua[25998]: id="3007" severity="debug" sys="System" sub="auth" name="do_auth_directory() directory authentication failed. No such user." 

Don't work. Wrong attribute is asked. The UPN is also used by most smartphones for autodiscover.

Could you please fix the "sAMAccountName" issue? Also the UPN is needed for many scenarios.

regards
mod

Hi mod,

In 9.192, we had few issues with AUA, and Adirectory bind did not accept sAMAccountName@fqdn 
https://community.sophos.com/products/unified-threat-management/astaroorg/f/81/t/65517

But this will be fixed in 9.193. Keep us posted on how it goes [;)]
Thanks for checking,
Bianca

Hi Bianca,

that sounds good. Could you please tell us when the 9.193 will be released?

Thanks
mod

We are planning to release a fix for this issue in Version 9.200.