Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 3 replies
  • Subscribers 0 subscribers
  • Views 1655 views
  • Users 0 members are here
Options
Suggested

[9.200] AD/SSO in Transparent Mode Not Working

PlatosGimp
I have been working on this feature for weeks now, numerous UTM/AD-Server combinations etc and behaviour is inconsistent or not working at all.

1: UTM and AD Server can both resolve each other by FQDN
2: UTM only has AD Server as DNS forwarder
3: UTM Joined to AD Domain
4: User (BigBirdy) tested in Auth Server settings and returns...

User authentication:
Authentication test passed.

User is a member of the following groups:
Active Directory Users

5: Create new (AD Profile) Proxy Profile for LAN in Standard Mode - Active Directory SSO
6: Create new (AD Policy) with "Active Directory Users" group
7: Edit "Base Policy" to also use Standard Mode - Active Directory SSO
8: Open IE, manually set proxy settings by IP to UTM (192.168.1.1)
9: Close/open IE and browse. 

User consistently recognized as the AD user in Proxy logs.

2014:03:20-13:23:44 UTM-92-HW-2 httpproxy[30282]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.1.50" dstip="198.35.26.96" user="UTMPODNET\bigbirdy" statuscode="200" cached="0" profile="REF_HttProContaInterNetwo (AD Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="20" request="0xa1cad540" url="meta.wikimedia.org/.../Special:RecordImpression

2014:03:20-13:23:44 UTM-92-HW-2 httpproxy[30282]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.1.50" dstip="198.35.26.112" user="UTMPODNET\bigbirdy" statuscode="200" cached="0" profile="REF_HttProContaInterNetwo (AD Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="964" request="0xde1b320" url="upload.wikimedia.org/.../png" application="wikipedi"

2014:03:20-13:23:44 UTM-92-HW-2 httpproxy[30282]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.1.50" dstip="198.35.26.112" user="UTMPODNET\bigbirdy" statuscode="200" cached="0" profile="REF_HttProContaInterNetwo (AD Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2270" request="0xa1848cc0" url="upload.wikimedia.org/.../png" application="wikipedi"

So far so good.

10: Change "AD Profile" to "Transparent Mode - Active Directory SSO
11: Change "Base Policy" to "Transparent Mode - Active Directory SSO
12: Remove manaul proxy settings in IE, login out and back in, open IE

Prompted for credentials.

Ideas/suggestions?
  • 0
    Most browsers will refuse to send SSO credentials to what they think may be random sites on the internet.  Unless otherwise instructed, they will only SSO to sites that are on the local intranet.

    IE does some things to automatically detect if the server asking for credentials is on the intranet or not.  I don't know the details, you would have to ask Microsoft.  Some of this might be things like is it on the same IP subnet.  From what I've heard in "most" customers configurations, IE will automatically detect the UTM as being intranet.

    Firefox, on the other hand, does not do any intranet detection and must always be configured to allow SSO authentication.

    IE: Options, Security, Local Intranet, Sites, Advanced
    FF: about:config, network.automatic-ntlm-auth.trusted-uris

    As you are doing AD, it shouldn't be too much trouble to GPO push the config to all machines.
  • 0 in reply to Michael Dunn
    Thanks for the reply Michael. Even the Context Sensitive Help is confusing and inconsistent presenting what amounts to mutullly exclusive information with regards to Transparent Mode and AD/SSO.

    "... when you have configured Active Directory Single Sign-On....This has the effect that NTLM user authentication will be used to authenticate clients"


    and in the same section...

    "In transparent mode, the Web Filter will strip NTLM authentication headers from HTTP requests."

    So, the help basic says when AD SSO is used/configured, NTLM authentication is used but when in transparent mode, the NTLM headers will be stripped!

    And a packet capture on the UTM (in Transparent Mode with AD/SSO) with an IE client, shows missing NTML information in the headers - hence the failure to authenticate in Transparent Mode.

    Even stranger was that when I opened Chrome, authentication was done, browsing worked fine and no auth prompt, and then stopped with some pages passing and others prompting for credentials!

    Inconsistent and unreliable behaviour and there are now many of us working on this issue (UTM Support) and trying to wrap our heads around this behaviour/feature.
  • 0
    The help is still being worked on.  I just took a look, what is in 9.200 is not the most recent text for this topic, and some of it is cut and paste from 9.1.

    For example, which us says "the Web Filter will strip NTLM headers" that is perfectly correct - it will not pass NTLM headers through the proxy and to a internet site.  What may be confusing is "strip" means remove headers from packets, but it doesn't mention that it will actually use those headers if AD SSO is configured.


    The AD SSO functionality has been a feature of the Sophos SWA for several years and has the exact same issues.  The Sophos Support people (who I have talked to and come from a SWA background) are well aware in this issue and can assist people in resolving it.

    It is unclear to me if you are a Sophos employee however you can contact me internally and I can send you updates to help and put in contact with the support people who should know this.
Unfiltered HTML