[9.194-5][BUG] Cannot enable AD SSO in transparent mode when WAF is enabled

Hi mod,
Actually this is working as required. The waf is listening on port 80. When u have transparent mode with active directory , the proxy will do a redirect on port 80 for displaying the authentication page. Will talk with the http proxy team maybe they will change the port in order to avoid these kind of conflicts.
Thanks for reporting. BR
Bianca

Thanks for reporting. We are now tracking this as Mantis ID #30736

The Mantis ID #30736 is now under investigation.

There is no way around this, it is a limitation of the system.  Both require port 80 on the UTM and they cannot coexist.

No way? Why this works in release 9.194-5? Do you mean, that we can't use this feature anymore?

Where can I disable waf authentication? I can't find an option in the web ui..

The limitation was always there, its possible that only more recently the UI warning message was added.

There is not WAF Authentication, you must disable one of:
Web Application Firewall
Web Protection, Transparent Mode, AD SSO (switch to a different authentication mode)

This not a reduction in features, it is a limitation of a new feature.  Here is my marketing-talk version of this:
"UTM 9.2 is proud to announce a brand new feature!  The UTM now has the ability to AD SSO in Transparent Mode!  Note: This feature is not available if you are using WAF."

This also happens vice versa. If you have transparent AD SSO in use, you cannot activate Webserver Protection Virtual Servers.

I assume this protection was implemented due a earlier bug I found that some features as transparent skiplists in the web proxy may kill transparent SSO.

But this is now definately a Bug, as Webserver Protecion and Web Proxy Profile with transparent SSO also gets blocked, if they are listening on two COMPLETELY DIFFERENT Interfaces (WAN vs. LAN)

So please fix this, and block only those configurations, where people try to activate transparent SSO  AND a virtual webserver on the same interface - which may break things...

/Sascha

I'm with Sascha on this, just keep the IP conflicts away -- I can't think of a scenario where I'd want transparent proxy listening on the outside network(s) and WAF on the inside network(s)... that's a major issue not being able to use one feature because another is enabled.

I also can't belive that. In the last release WAF and transparent AD SSO (Webprotection)works absolutly great. Just the AD reverse authentication had problems with ad auth.

Before I had upgraded to 9.195-6, in webprotection I had used ad sso in transparent mode and in webserver Protection basic auth against ldap.

9.195-6 is a step backwards.