Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 13 replies
  • Subscribers 0 subscribers
  • Views 4342 views
  • Users 0 members are here
Options
Suggested

SSO in transparent mode issue

CassianoSchenkel
Hello guys.

First, I apologize if this subject is duplicated, but I didn't found anything that helps me.

I'm trying to setup a transparent proxy with authentication via SSO. If I configure this option at web filtering section, the proxy always asks for the user and password when I access an web page. If I configure this at web filter profiles section, my web access is filtered by default web filter policy doesn't matters if I use transparent or standart mode at web filter profiles.

I'm current using the configuration below:
-Web Protection -> Web Filtering -> Default web filter profile:

Allowed netorks: Internal(Network)


Operation mode: Transparent mode


Default authentication: None



-Web Protection -> Web Filter profiles:

Allowed netorks: Internal(Network)


Operation mode: Transparent


Default authentication: Active Directory SSO


Block access on authentication failure



With this configuration, all of my access coming from internal network are handled by default webfilter profile, even if I setup Web filter profiles in standart mode...

I'm getting a little confused with this new web filter flow... I woul realy appreciate if some one could help me.

Thank you all.
Cassiano
  • 0 in reply to ManuelKarl
    Hello Michael.

    According your last post, I did what you suggested (add the utm hostname in trusted IE sites) and... it works! But, as you said generally it's not needed.

    Another thing that I have noticed, is about the authentication cache... If I logon to windows with user A, when this user access any website, UTM authenticates this user in SSO with transparent mode an then applies the specific rules for this user. But if I logoff user A and after logon with user B, in the same computer, the UTM still indentifying the session as being user A, and applies the rules by the User A to User B.  Is it normal?

    Thank you.
  • 0
    For Standard Mode - AD SSO login should not be cached at all
    For Transparent Mode - AD SSO login is cached for five minutes

    So if you logoff and login as a different user, you may get logged (and have policy) as the wrong user for up to five minutes.

    Note that all users need to have the utm hostname added.  It is actually better to have it added to "Local intranet" than "Trusted sites" - seems to work in more configurations.

    A similar configuration is needed for Firefox (and other browsers).  In about:config you must add the utm to network.negotiate-auth.trusted_uris.

    Some more information is here:
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/81/t/65476
  • 0 in reply to Michael Dunn
    For Standard Mode - AD SSO login should not be cached at all
    For Transparent Mode - AD SSO login is cached for five minutes

    So if you logoff and login as a different user, you may get logged (and have policy) as the wrong user for up to five minutes.

    Note that all users need to have the utm hostname added.  It is actually better to have it added to "Local intranet" than "Trusted sites" - seems to work in more configurations.

    A similar configuration is needed for Firefox (and other browsers).  In about:config you must add the utm to network.negotiate-auth.trusted_uris.

    Some more information is here:
    http://www.astaro.org/beta-versions/utm-9-2-beta/50521-9-191-question-transparent-proxy-sso-how-deal-intranet-zone.html


    AH - THANK YOU MICHAEL !!! That was the missing puzzle part, why I never got transparent SSO working...

    And during testing I found a bug which can break transparent SSO...will open another bug report for that one...
Unfiltered HTML