SSO in transparent mode issue

So you have two profiles, both set for the same network, both in transparent mode, and with two different authentication modes.

This is a non-standard setup and I'm not entirely sure what it will do.  I *think* it should always use the additional profile you created and force AD SSO but I'm not sure off the top of my head.

I'm not positive what you are trying to do but this is a normal setup:

Delete/disable all additional profiles you created.  The Default Profile (Web Filtering tab) should be set to Transparent Mode with AD SSO.

If you have the HTTPS "Do not scan" option you need to create a firewall rule to allow HTTPS traffic through.  Do not create a firewall rule for Web Browsing or HTTP.

Now the first time when you visit a web page it will try to use your currently logged in computer credentials (silently).  If that fails you will get a browser pop to put in credentials.  Once that is successful and you can browse you should be able to continue browsing without reauthenticating, until you close your browser (depends on browser settings).

Hi Michael.

Thank you for you reply.

I did what you suggested, but it does not worked.

I guess I'm missing someting very basic. Like... I didn't found where I have to specify the users/groups that supposed to have permission to access the web filter... [:S]

Can you tell me what didn't work?  Error message?  Logs?

Did you configure the AD Server under Definitions and User \ Authentication Servers, both the Servers and the SSO tab?

If you go to Definitions and Users \ Users and Groups \ Groups, can you create a group with a backend membership to AD and specify which AD Users/Groups are part of it?

It should not be needed for the most basic of cases, but does it behave differently if you create a single Policy that applies to "All Active Directory Users"?

Ok...

SSO for both transparent and standart mode does not work. 

The AD server is configured in authentication servers, and also the UTM is joined to local domain. If I configure the proxy authentication via browser, I can authenticate with any AD user. 

I can create groups with backend memberships, and I can also import the AD users to the UTM.

The comunication between UTM and AD is working.

I found several entries in the web protection log, like this:

2014:01:03-16:52:35 utm92 httpproxy[7103]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xcd6f938" function="adir_auth_process_negotiate" file="auth_adir.c" line="1558" message="gss_accept_sec_context: Ticket not yet valid"

Thank you,
Cassiano

Can you check that the time is synchronized between the AD server and the UTM?

Authentication Errors are Caused by Unsynchronized Clocks: Logon and Authentication
https://www.google.ca/#q=kerberos+Ticket+not+yet+valid

Hi Michael,

I checked de sincronization time between AD and UTM and it's fine... ~0.2 ms difference.

In standart mode the SSO works fine, but in transparent mode, still asking for password.

Do you know if Sophos Support is handling beta issues?

Normally Sophos Support is not involved with any Beta, all support is done via this forum.  This is because many of them are not fully trained and familiar with all the new features - they are learning just as you are.

With the UTM 9.2 Beta, we have invited Sophos Partners to join in more actively and Sophos Support is being extended to them for Beta issues.  They should be able to answer questions regarding the beta.  However if there are issues it comes back to people like me anyway.

Support might give you a friendly and familiar face but the forums will get you in more direct contact with the experts for faster and more technical answers.

We're looking into the error.  Can you give us more details about your setup?  Version of AD server, number of users, AD forest, etc.

Hi Michael.

I tought that Sophos support were not involved with beta issues. 
I'm a Sophos Partner, but unfortunatelly I'm not invited to join to beta program...

Anyway, I'm doing these tests in a local virtual lab, so I have a Windows 2003 which is my AD server, a Windows XP acting as workstation and the UTM. I have just two users in my AD and also just one forest.

If you want, I could provide you access to this environment.

Thank you very much!

Just an off-chance...  Can you use IE, Internet Options, Security, Trusted Sites, and then add the UTM as a trusted site.  It shouldn't make a difference but some think it might.

We test with AD all the time and not seen this, there may be something peculiar about your specific setup.  Can you please IM or email me (using forum) so that we can get access to your environment.

Hello,

i got the same error.
Using zentyal as directory server (AD) and sucessfully joined the utm to the domain. I can use my dir-users but also get the annoying auth-window.
I can resolve the utm-name, dns is my zentyal which is forwarding to the utm, i also created the reverse-dns entrys on utm, time is in sync...

With standard-proxy and configured browsers all is working fine, only the transp. sso shows this issue.

Manuel