Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 24 replies
  • Subscribers 0 subscribers
  • Views 10197 views
  • Users 0 members are here
Options
Suggested

[9.193-11][Bug] Device specific Authentication don't work

mod2402
The Device specific Authentication don't work. If I configure this Option for device type Windows and AD SSO or browser based, the Website could not be displayed. 

With authentication method none and device windows it works.

The log shows nothing related.

HTTPS scanning is turned off.

My test client is a Windows 8 Client with IE 10 and / or Firefox.

Proxy is running in transparent mode.
  • 0
    I've created a dns entry for "passthough.asg.home.ads" that is pointed to my internal ip of my ha system.. The certificate for end user pages with hostname "asg.home.ads" and same certificate subject name is trusted. (screenshot c1.png)

    Test1:
    is working

    Test2:
    not working, no login page, no log entry, request timed out (screenshot e3.png)

    another test with a new certificate for enduser pages with hostname "asg.home.ads" and certificate subject name "passthough.asg.home.ads" also same result. (screenshot e4.png)

    If I switch off certificate for enduser pages (screenshot e5.png) the browser shows the login page with hostname "passthrough.fw-notify.net". (screenshot m1.png) and I can login without a problem.

    It seems that this is a problem with the special certificate for end users.

    A deeper look to the certificate shows me that there is something wrong. The Primary host name is not the hostname that I need. As you have explained it in the other thread. This primary name is the organisation name. But this one I can override in the request.

    I have tested all possible variations. Nothing seems to work The device specific authentication just work if certificate for enduser pages is disabled.

    After some more deeper looking, I've found that the authentication request is not a https request, if no certificate for enduser requests is enabled.

    The brwoser makes a request to "passthrough.fw-notify.net/.../auth_transparent.html

    But also If I manually edit the URL to HTTPS... the authentication works in this scenario.

    So it seems, this is just a problem If I use the certificate for enduser pages. 

    Don't know why this is not working.
  • 0
    The certificate needs to be valid for passthrough.asg.home.ads.

    That means it must have a Common Name or Subject Alternate Name that includes that specific address, or it needs to be wildcard (eg Common Name is *.home.ads).

    Right now (according to your first post) you are running Transparent Mode with  HTTPS set to "Do not filter".  Is this correct?

    If you are skipping HTTPS, that means that HTTPS traffic does not go through the httpproxy.  However I am not sure how this interacts when we are trying to go to the proxy address itself.
  • 0
    Wait...  You are not doing any HTTPS Scanning -- but you have configured a custom certificate for use when the proxy displays HTTPS sites.  This might be an invalid (or at least unusual) configuration.
  • 0 in reply to mod2402
    i've created a dns entry for "passthough.asg.home.ads" that is pointed to my internal ip of my ha system..


    Please see the draft documentation for "Certificate for End-User Pages". The DNS entry for "passthrough.asg.home.ads" should point to 213.144.15.19 instead of the internal IP of your ha system.

    Peter Gale | Director, Software Development, NSG
    peter.gale@sophos.com

  • 0
    Now I'm absolutly confused. I change the dns entry so that this is pointed to 213.144.15.19. Browser based auth is working with and without https scan.

    Without https scan the request goes to http://passthrough.asg.home.ads
    With enabled https scan (Decrypt and scan) the request goes to https://passthrough.asg.home.ads

    Why 213.144.15.19? why an official IP?
  • 0
    The site passthrough.fw-notify.net is an officially registered domain with an IP of 213.144.15.19.

    When the UTM needs to display things from itself it uses passthrough.fw-notify.net.  This domain is 'caught' by the proxy and it know not to actually go there but to display an internal page instead.

    When we override the passthrough.fw-notify.net with your own passthrough it needs to have the same IP address as the real fw-notify.net, so that the proxy can properly detect it and serve a local page.
  • 0
    That's very strange. I don't understand, why I must send my local account data to an external server. Sophos needs a backdoor for the NSA? [:D]
  • 0
    Oh we trap the communication at the UTM and it never goes out to that IP or anywhere on the internet.  Feel free to tcpdump if you want.

    BTW, All NSA communic----  [redacted]

    [:)]
  • 0
    So, now that you have that working, can you try the three tests again?  And if those are working, is there anything that you are still having problems with regarding device specific authentication?
  • 0
    All three tests are working now without a Problem (with win8 client and browser auth). Now I'll test the iphone with browser auth.
Unfiltered HTML