Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 2 replies
  • Subscribers 0 subscribers
  • Views 1074 views
  • Users 0 members are here
Options
Suggested

[9.200][QUESTION] Web Protection Authentication for Mac OSX

AlexBruce
I have a few questions around how the UTM authenticates Mac OSX clients. Any official Sophos answers on these please?

1. Is Mac OSX Single Sign On (against AD) possible in Sophos UTM 9.2? similar to the Sophos Web Appliance.
The SWA had the caveat that the Service Principle Name must be set in Active Directory to facilitate Single Sign on for Mac OSX devices (as in help here: Configuring Active Directory to support Kerberos for Mac OS X) Ensuring Kerberos is used for authentication etc.
Is this the same to support Sophos UTM SSO for Mac devices? It is not mentioned in the Help for UTM yet (I am running early release of UTM 9.2)

2. Is the newer Transparent Single Sign On supported for Mac OSX?
Doesn't mention anything specific other than It is only supported for Internet Explorer. Is it supported for Mac browsers also if the browser is capable? I think there are some changes required for Firefox to support auto Kerberos Authentication (add SWA URI to network.negotiate-auth.trusted-uris property etc).  It is available to pick for a device specific policy.

3. Using browser authentication. Can you specify the time of the session? what is the default time or how does the UTM determine the session time? (ie when will the users have to authenticate again?)
The SWA included an option when using browser authentication or Captive Portal to adjust the time for the session. Is there a default time for the UTM? (1 hour similar to SWA?).  This is not mentioned in the Help file. Can the time be adjusted?

4. Support for Apple OpenDirectory.
It is still mentioned in the Help file that Apple OpenDirectory SSO (including uploading kerberos ticket etc) is supported for Web Protection Authentication. Is this correct? I remember hearing that support for this was being dropped. Please confirm. Open directory is not an available option in adding an authentication server from what I can see.
Parents
  • 0
    1.  Yes.  The UTM supports both Kerberos (WWW-Authenticate:Negotiate) and NTLM authentication.  In OSX, Kerberos will SSO with no user prompts and NTLM will do a pop-up.  This has been supported for a few years.  The UTM does not need the SPN set like the SWA does, the configuration is automatic.  Search help for Kerberos, note that UTM must have a FQDN.

    2.  Yes AD SSO should work for Mac OSX.  There is an issue for all browsers regardless of OS, which is that most browsers will not blindly send out credentials over the internet.  The browser will only send credentials to sites that it trusts or thinks is local intranet.  How the browsers do this is browser-specific.  Windows IE has logic such as checking if it is on the same private subnet.  Firefox requires a configuration like you list.  I don't know all browsers.  Basically, if SSO does not work it could be your browser not trusting the UTM enough to send SSO credentials.

    3.  For browser authentication the timeout is not obvious.  Here is a draft of the new documentation (not confirmed).  This is a setting in Options, Misc.

    Authentication timeout:  The length of time (in seconds) that a user can use the proxy after logging in when using Browser authentication mode, or that a site is unblocked when using Bypass Blocking.  If the user has a logout tab open the user can continue to browse without re-authenticating until that tab is closed plus the authentication timeout.
    Example: Authentication timeout is 900 seconds. User logs in and leaves the logout tab open. User browses the internet for 4 hours. User closes their browser, including the logout tab. 5 minutes later the user opens the browser and does not need to authenticate again. 10 minutes after that the user browses and must authenticate since it is now 900 seconds after the logout tab was closed.

    4. Yes it is still supported, though regression testing for this was limited for 9.2.  Configuration is on Web Protection, Options, Misc.


    Just to document for everyone:
    - If you do AD SSO in Standard mode all operating systems will be able to do Kerberos and NTLM.
    - If you do AD SSO in Transparent mode OSX will be able to do Kerberos and NTLM.  All other operating systems will only do NTLM.

    We did it this way to improve the SSO experience for some browsers.
Reply
  • 0
    1.  Yes.  The UTM supports both Kerberos (WWW-Authenticate:Negotiate) and NTLM authentication.  In OSX, Kerberos will SSO with no user prompts and NTLM will do a pop-up.  This has been supported for a few years.  The UTM does not need the SPN set like the SWA does, the configuration is automatic.  Search help for Kerberos, note that UTM must have a FQDN.

    2.  Yes AD SSO should work for Mac OSX.  There is an issue for all browsers regardless of OS, which is that most browsers will not blindly send out credentials over the internet.  The browser will only send credentials to sites that it trusts or thinks is local intranet.  How the browsers do this is browser-specific.  Windows IE has logic such as checking if it is on the same private subnet.  Firefox requires a configuration like you list.  I don't know all browsers.  Basically, if SSO does not work it could be your browser not trusting the UTM enough to send SSO credentials.

    3.  For browser authentication the timeout is not obvious.  Here is a draft of the new documentation (not confirmed).  This is a setting in Options, Misc.

    Authentication timeout:  The length of time (in seconds) that a user can use the proxy after logging in when using Browser authentication mode, or that a site is unblocked when using Bypass Blocking.  If the user has a logout tab open the user can continue to browse without re-authenticating until that tab is closed plus the authentication timeout.
    Example: Authentication timeout is 900 seconds. User logs in and leaves the logout tab open. User browses the internet for 4 hours. User closes their browser, including the logout tab. 5 minutes later the user opens the browser and does not need to authenticate again. 10 minutes after that the user browses and must authenticate since it is now 900 seconds after the logout tab was closed.

    4. Yes it is still supported, though regression testing for this was limited for 9.2.  Configuration is on Web Protection, Options, Misc.


    Just to document for everyone:
    - If you do AD SSO in Standard mode all operating systems will be able to do Kerberos and NTLM.
    - If you do AD SSO in Transparent mode OSX will be able to do Kerberos and NTLM.  All other operating systems will only do NTLM.

    We did it this way to improve the SSO experience for some browsers.
Children
No Data
Unfiltered HTML