Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 4 replies
  • Subscribers 0 subscribers
  • Views 1258 views
  • Users 0 members are here
Options
Suggested

[9.193-11][ANSWERED] WAF - OTP - mod_authnz_aua.so

kl1910
Dear Community,

the Web Application Firewall uses mod_authnz_aua.so for the query of users and Passwords.

mod_authnz_aua.so caches the password (until livetime expires ) of the user when the reverse authentication feature is used. 

It prevents the usage of OTP served by an external RADIUS: The same user is not able to use his actual OTP against the reverse authentication feature within the livetime of the session in the WAF. 

( If he wants to work he needs to use the OTP from the initial login the whole time of possible re-logins. It's against the pilosophy of OTP - one Password ist used not only one time. )

How is it possible to get OTP working when it is served by external radius Servers and used for reverse authentication in the WAF ?

Regards, 
Karsten Laskowski
Parents
  • 0
    Dear Community, 

    before I posted my question regarding reverse auth by otp, I had already read the post
    "UTM 9.2 Beta Overview" 
    from https://community.sophos.com/products/unified-threat-management/astaroorg/f/81/t/65195
    written by AngeloC

    Here the interesting part regarding Reverse Auth:
    " Reverse Authentication (Authentication Offloading) for Web Server Protection "
    ...
    "*Note* It is not possible to use our new Two-Factory Authentication (one-time password) with this feature using the backend authentication mode,
    you must use the form-based one. This is so you know what request it is, 
    as backend authentication will cache the credentials and thus in a few seconds user requests would be invalid."

    I thought that OTP would work with the form based authentication as a cookie is used for the session. But it doesn't work also. 
    If the UTM offers external authentication by a radius Server which implements OTP for users, why shouldn't it be usable ?

    Regards,
    Karsten Laskowski
Reply
  • 0
    Dear Community, 

    before I posted my question regarding reverse auth by otp, I had already read the post
    "UTM 9.2 Beta Overview" 
    from https://community.sophos.com/products/unified-threat-management/astaroorg/f/81/t/65195
    written by AngeloC

    Here the interesting part regarding Reverse Auth:
    " Reverse Authentication (Authentication Offloading) for Web Server Protection "
    ...
    "*Note* It is not possible to use our new Two-Factory Authentication (one-time password) with this feature using the backend authentication mode,
    you must use the form-based one. This is so you know what request it is, 
    as backend authentication will cache the credentials and thus in a few seconds user requests would be invalid."

    I thought that OTP would work with the form based authentication as a cookie is used for the session. But it doesn't work also. 
    If the UTM offers external authentication by a radius Server which implements OTP for users, why shouldn't it be usable ?

    Regards,
    Karsten Laskowski
Children
No Data
Unfiltered HTML