[9.191][BUG] OWA login via WAF fails with "Unknown username and or password"

I've tried every combination of DOMAIN\UserName, UserName@DOMAIN, UserName@upn.com, can't seem to get past this Password Mismatch since 9.194-5. yargg

You must use authentication service LDAP, not AD. AD don't work at the moment. Just the UPN (user@domain) works with LDAP (not AD) authentication. The UPN must be the primary UPN for this account in active directory.

The combination "domain\username" don't work in any scenario at this time. I hope this is fixed in 9.195..

Looks like latest up2date fixed this!

In 9.195-6 no status change. Same issues as before! Debug logging for aua.log no more possible.

Edit: Clicked 'send' to soon. Removed.

We are planning to release a fix for this issue in Version 9.200.

We are planning to release a fix for this issue in Version 9.201.

Hi there,

I've found a workaround for this issue. Exchange and sharepoint use the underlaying IIS for the basic authentication. We could set a default domain name in the authentication area from the IIS. For an example:

In IIS 7.5 mark the virtual Directory and choose then on the right site authentication.

In the context menu from basic authentication choose edit. There you can type you internal domainname and a realm. See attached image.

With this configuration in IIS and the basic/basic or formbased/basic setting in the utm the authentication is working without a problem. We don't need the domainname in this scenario [[[:)]]]

Therfore OWA login with just the username is running perfectly with AD groups. The delegation also works [[[:)]]]

So, sharepoint and all other IIS based systems will work with this settings [[[:)]]]

Just preconfigured smartphones with Domain and username must be changed the standard settings. This could be a pain in large companys.

I tried the above fix it does not work for me. I am using the logon username with no domain name before it. I'm running exchange 2010 and have no issues with active-sync. OWA however intermittently works. The page half renders sometimes with broken links or missing images and other times renders fine. The log file states password mismatch intermittently as well here's the log of what I'm seeing.

2014:04:15-23:13:17 firewall reverseproxy: srcip="50.77.188.22" localip="215.12.15.81" size="136" user="myusername" host="50.77.188.22" method="POST" statuscode="200" reason="-" extra="-" exceptions="-" time="73551" url="/owa/ev.owa" server="mail.domain.com" referer="mail.domain.com/.../;httponly;secure"
 
2014:04:15-23:13:18 firewall reverseproxy: srcip="50.77.188.22" localip="215.12.15.81" size="3736" user="myusername" host="50.77.188.22" method="POST" statuscode="200" reason="-" extra="-" exceptions="-" time="74864" url="/owa/ev.owa" server="mail.domain.com" referer="mail.domain.com/.../;httponly;secure"
 
2014:04:15-23:13:48 firewall reverseproxy: [Tue Apr 15 23:13:48.040313 2014] [auth_form:error] [pid 31807:tid 4089391984] [client 50.77.188.22:49226] AH01807: user 'myusername': authentication failure for "/owa/ev.owa": password Mismatch, referer: https://mail.domain.com/owa/
 
2014:04:15-23:13:48 firewall reverseproxy: [Tue Apr 15 23:13:48.040351 2014] [auth_form:error] [pid 31807:tid 4089391984] [client 50.77.188.22:49226] AH01807: user 'myusername': authentication failure for "/owa/ev.owa": password Mismatch, referer: https://mail.domain.com/owa/ 

Any help would be appreciated. I also should mention the rules for this have not been changed and OWA through Sophos with Sophos doing form authentication was working just fine in version 9.192008 we didn't update for awhile due to the bug but had not choice with the recent Heartbleed openssl bug.

Hi,

unfortunately, the 'password mismatch' error is at the moment the only error message for all that can go wrong with reverse authentication. Can you please enable debug logging?

Therefore edit /var/chroot-reverseproxy/usr/apache/conf/httpd.conf:

"LogLevel notice authn_aua[:D]ebug"

And restart the WAF afterward.

Best,
 Sabine