Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 3 replies
  • Subscribers 0 subscribers
  • Views 1927 views
  • Users 0 members are here
Options
Suggested

[9.191][ANSWERED] Transparent proxy with SSO - How to deal with the Intranet Zone?

d00b
Hi all,

I'm playing around with the SSO in transparent mode but it keeps asking for the password. Looking at the Alan's explanation, I found that the UTM's FQDN is not recognized as in the local intranet zone. 

Originally Posted by AlanT
Here's a quick run-down on how the AD SSO handshake in Transparent mode works:
* Browser sends HTTP request, which is transparently intercepted by the UTM
* UTM redirects the HTTP request to the FQDN of the UTM (port 80)
* UTM sends a 401 response to challenge for authentication. 
* Browser replies with a ticket or credentials to complete the handshake
* UTM caches the authenticated user with the source IP address
* Browser gets redirected to original site

One caveat here, is that the UTM's hostname must be a fqdn within the local AD domain, so that your browser will consider it to be a site in the local Intranet zone. It will then respond to auth requests from the UTM transparently.


If I put the FQDN manually in the Local intranet configuration, the authentication goes on beautifully.

So, how can I make the FQDN be correctly identified without manually messing around with the users zone configuration?

Looking for infos about this zone, I've found that Windows has a "Dot Rule" which exclude from the Intranet any address which contains a dot (like firewall.acme.local or an IP address).

The Intranet Zone - IEInternals - Site Home - MSDN Blogs

It seems we have a pre-requisite of configuration on the client side for this authentication to work. Am I correct?

Thanks!
  • 0
    I was not involved with the implementation of this feture and have not looked at it until now.  I agree that the situation is not ideal.

    The basic problem is that Internet Explorer has protection so that it does not try to do SSO authentication (sending of username/password) to any random website, it only will do it for sites that are in the intranet zone.  You don't want to send your windows username and password The best way to do this is to go to Internet Options \ Security \ Local Intranet \ Sites \ Advanced and add the UTM FQDN there.  The other option (less secure) is to go to Security \ Internet \ Custom Level \ Logon and set "Automatic logon with current username and password".

    Firefox has a similar thing.  If you go into about:config you need to add the FQDN to "network.negotiate-auth.trusted-uris".  Other browsers will have similar issues.

    We are looking into whether there are any other options, but for now you are correct.  You need to GPO push to add the UTM FQDN as trusted (for IE) plus similar pushes for other browsers.
  • 0
    Thanks Michael!

    It's not a problem, just a question regarding the pre-requisite of this feature. If the user has an account on my directory, it must have this intranet zone configured by a GPO, just plain simple rule. [:)]
  • 0
    As an admin, are you willing to do a GPO push to support IE?  A different GPO push to support Firefox?  A different GPO push for other browsers?  Different OSes?

    The answer may be yes - then the cost of having AD SSO in Transparent Mode is more configuration for every browser.  No problem, just a plain simple rule.


    What I am looking at right now is the other Sophos product, the SWA (Sophos Web Appliance).  From what I recall it did not have this problem, possibly because it preferred NTLM over Kerberos.
Unfiltered HTML