Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 24 replies
  • Subscribers 0 subscribers
  • Views 10208 views
  • Users 0 members are here
Options
Suggested

[9.193-11][Bug] Device specific Authentication don't work

mod2402
The Device specific Authentication don't work. If I configure this Option for device type Windows and AD SSO or browser based, the Website could not be displayed. 

With authentication method none and device windows it works.

The log shows nothing related.

HTTPS scanning is turned off.

My test client is a Windows 8 Client with IE 10 and / or Firefox.

Proxy is running in transparent mode.
  • 0
    Can you more clearly explain your setup, perhaps a screenshot of the configuration.

    For example, what do you mean "the website could not be displayed".  The browser login website?  The destination site?

    Can you also please post what is in http.log.  We are most interested in device= and auth=


    The device enum is:

    typedef enum {
        DEVICE_UNKNOWN = 0,
        DEVICE_WINDOWS=1,
        DEVICE_MACOSX=2,
        DEVICE_LINUX=3,
        DEVICE_IOS=4,
        DEVICE_ANDROID=5,
        DEVICE_KINDLE=6,
        DEVICE_BLACKBERRY=7,
        DEVICE_FREEBSD=8
    } p0f_device_t;

    The auth enum is:
    typedef enum {
            AUTH_NONE = 0,
            AUTH_BASIC=1,
            AUTH_ADIR=2,
            AUTH_EDIR=3,
            AUTH_TRANSPARENT=4, //aka Browser auth
            AUTH_OPENDIRECTORY=5,
            AUTH_ENDPOINT=6, //aka Agent
            AUTH_POLICYTEST=7,
            AUTH_NUMBER_OF_AUTHS /* must be the last one */
    } auth_t;
  • 0 in reply to Michael Dunn
    For me neither! Specific device Authentication is not working. I am trying with iPhone and UTM 9.193-11. See the screenshot. 

    In the Web Filtering there is no track of my iPhone web surfing when I enable device authentication. No skipping rule enabled.

    Moreover, if I disabled Device Authentication, still no log into Web Filtering. Strange!!!! If you need more screenshot, ask.
  • 0
    Iferrara - if you a not getting any logging of your device this is not a "device specific authentication" issue.  This option is strictly about supporting different types of Authentication.  Your problem is more about any sort of proxying of your wireless device.

    Your screenshot looks odd - it appears that you have Full Transparent Mode selected yet greyed out.  We may have a problem in the logic of when to disable the Full Transparent option.  Please give me a few screenshots of your interface and bridge configuration.

    Are you indeed using Full Transparent Mode with a Bridge?  Is the wireless adapter also part of the bridge?  The internal adapter as well?

    On your wireless device, can you confirm that the packets must flow over the UTM bridge to get to the internet.  It may be better to use a computer over wireless and traceroute (making sure the firewall configuration advanced options are set that it is traceroute visible).

    Finally, can you make sure that in your Firewall settings you do not have a rule for "HTTP" or "Web Surfing" services.
  • 0
    The logic for enabling/disabling the Full Transparent Mode option is whether the bridge status (the main on/off switch) is enabled.

    If you do not currently have a bridge and have Full Transparent Mode selected, you are in a bad state.  It may just be that you have to switch to Transparent Mode, it depends on your network configuration.
  • 0
    It seems that the webproxy don't work if I enable Device specific authentication.

    HTTP requests don't work and are not handled by the webproxy. There is nothing to see in any log. 

    See my configuration in the attached images.
  • 0
    I need more information than "doesn't work".  Lets test step by step.

    Test 1:
    Turn off all authentication.
    Use your test device (eg iPhone).
    Make sure you have your traffic logged in http.log

    Test 2:
    Set default authentication to Browser.
    Use your test device.
    Make sure you get login page and that your traffic is logged.

    Test 3:
    Set default authentication to None.  Set device specific (eg iOS) to Browser.
    Use your test device.
    Make sure you get login page and that your traffic is logged.

    If one of the tests fails - how does it fail?  What does the user see?  Do pages load?  What is in http.log?

    Can you also please post a screenshot of your firewall rules - especially any that include HTTP HTTPS or Web Surfing.
  • 0
    all tests with win8 Client..

    test1:
    is working:
    [HTML]2014:02:05-00:10:54 asg-2 httpproxy[23200]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.24.60" dstip="85.182.250.167" user="" statuscode="302" cached="0" profile="REF_HttProContaInterNetwo (test w8)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="219" request="0x1f1b2aa0" url="www.google.de/.../HTML]

    test2:
    don't work:
    no login page, no log entry!
    see screenshots:

    test3:
    same as test2..

    If you need, I could give you access to my testlab..
  • 0
    Since Test2 is failing this is a AD SSO in transparent mode problem.  Nothing to do (so far) with device-specific authentication.

    It looks like the Windows computer is having problems resolving passthough.asg.home.ads.

    What is the hostname configured for the UTM?

    Are you using the custom end user certificate feature?  If you are and you are not using the UTM as a DNS resolver, you need to add a few entries to your DNS.  Please read this thread:
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/81/t/65458
  • 0
    passthough.asg.home.ads is not registered in dns.

    the hostname is asg.home.ads and is registered.
    €dit
    sorry, my hostname is asg and my official domain suffix...

    yes, I use this feature. Tommorow I will add the dns entry. In Germany it's after midnight [;)]
Unfiltered HTML