[9.194-5][BUG] Cannot enable AD SSO in transparent mode when WAF is enabled

What do you mean with disable WAF? I don't see an option where I can do that.
Must I disable WAF at the commandline?

Is it possible to test ad sso for web protection in transparent mode in the actual release? I can't find a way to test it.. How can I disable WAF?

Is it possible to test ad sso for web protection in transparent mode in the actual release? I can't find a way to test it.. How can I disable WAF?

Waf = webserver protection / Reverse Proxy. If it's not actice, SSO shouldn't be a issue...

Sorry for short answers and typos. was written on mobile using astaro.org app.

sorry, I can't activate or deactivate the waf at this place. There is no switch like in the official release.

WAF = Web Application Firewall (Webserver Protection -> Web Application Firewall)

sorry, I can't activate or deactivate the waf at this place. There is no switch like in the official release.

WAF = Web Application Firewall (Webserver Protection -> Web Application Firewall)

Ok, I was little bit unclear. I meant, if you have under "Webserver Protection" one or more Virtual Webservers created and at least one of them active, you cannot activate transparent SSO.

If you haven't a virtual webserver running, this message shouldn't appear.

[:D]

thanks for this hint. Now I understand what you mean [;)]
I hope that we can use both features at the same time in the final release.

Hello,

i have similar issue - i tried to activate the WAF and the error message appears (Cannot enable WAF when one or more Web Filter profiles are using ActiveDirectory SSO in transparent mode).

I checked my proxy configuration and now I'm confused - i don't use these setting Transparent+SSO.
I've only have 2 profiles in transparent mode without authentication and 1 using in standard configuration with Active Directory authentication. (all assigned to different interfaces)


So is this a bug or is it not possible to use WAF with multiple profiles using either transparent only or standard mode + sso ?

As far as I understood that issue after talks to devs it's not a "bug" but more a "limitation by actual design". What I understood is, that both features uses on localhost processes bound to port 80 to work, which leads to conflicts if both features are in use at same time.

As there is not enough time to "improve" that feature by fiddling around at core functionalities before 9.2 release, this warning message was imlemented, as there's a big chance to brick things, if such issues get modified so short before release.

I don't know, how often both features together really may be used in real world scenarios. However - i personally also don't like that design limitation very much, and hope that it will be "improved" soon after official release.

I assume, that the more people here request for solving that limitation, the higher it may be priorized by PM's / the faster it may get solved [;)]

After those discussions I'm here completely with the devs and decision makers not to fiddle around this issue that short before release to not brick anything in the last minute - the actual betas are running quite well from my experience and feedback, and I always will prefer a slightly "limited" but stable release over a "improved" but maybe problematic release.

/Sascha

w7t2a:

Confirmed this is a bug.  The check is incorrect, it is looking for any Transparent plus any AD SSO - even if it is in separate profiles.

Workaround:  In your profiles, remove AD SSO.  Now turn on WAF.  Go back to profile and put in AD SSO again.

I assume then the only viable way to have BOTH the WAF and AD-SSO in Transparent Mode operational on the same UTM is to have multiple LAN and WAN interfaces/addresses.

Ideally, would the WAF be able to listen on a secondary WAN interface/address with only a single internal LAN interface?