Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 3 replies
  • Subscribers 0 subscribers
  • Views 1658 views
  • Users 0 members are here
Options
Suggested

[9.200] AD/SSO in Transparent Mode Not Working

PlatosGimp
I have been working on this feature for weeks now, numerous UTM/AD-Server combinations etc and behaviour is inconsistent or not working at all.

1: UTM and AD Server can both resolve each other by FQDN
2: UTM only has AD Server as DNS forwarder
3: UTM Joined to AD Domain
4: User (BigBirdy) tested in Auth Server settings and returns...

User authentication:
Authentication test passed.

User is a member of the following groups:
Active Directory Users

5: Create new (AD Profile) Proxy Profile for LAN in Standard Mode - Active Directory SSO
6: Create new (AD Policy) with "Active Directory Users" group
7: Edit "Base Policy" to also use Standard Mode - Active Directory SSO
8: Open IE, manually set proxy settings by IP to UTM (192.168.1.1)
9: Close/open IE and browse. 

User consistently recognized as the AD user in Proxy logs.

2014:03:20-13:23:44 UTM-92-HW-2 httpproxy[30282]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.1.50" dstip="198.35.26.96" user="UTMPODNET\bigbirdy" statuscode="200" cached="0" profile="REF_HttProContaInterNetwo (AD Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="20" request="0xa1cad540" url="meta.wikimedia.org/.../Special:RecordImpression

2014:03:20-13:23:44 UTM-92-HW-2 httpproxy[30282]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.1.50" dstip="198.35.26.112" user="UTMPODNET\bigbirdy" statuscode="200" cached="0" profile="REF_HttProContaInterNetwo (AD Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="964" request="0xde1b320" url="upload.wikimedia.org/.../png" application="wikipedi"

2014:03:20-13:23:44 UTM-92-HW-2 httpproxy[30282]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.1.50" dstip="198.35.26.112" user="UTMPODNET\bigbirdy" statuscode="200" cached="0" profile="REF_HttProContaInterNetwo (AD Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2270" request="0xa1848cc0" url="upload.wikimedia.org/.../png" application="wikipedi"

So far so good.

10: Change "AD Profile" to "Transparent Mode - Active Directory SSO
11: Change "Base Policy" to "Transparent Mode - Active Directory SSO
12: Remove manaul proxy settings in IE, login out and back in, open IE

Prompted for credentials.

Ideas/suggestions?
Parents
  • 0
    Most browsers will refuse to send SSO credentials to what they think may be random sites on the internet.  Unless otherwise instructed, they will only SSO to sites that are on the local intranet.

    IE does some things to automatically detect if the server asking for credentials is on the intranet or not.  I don't know the details, you would have to ask Microsoft.  Some of this might be things like is it on the same IP subnet.  From what I've heard in "most" customers configurations, IE will automatically detect the UTM as being intranet.

    Firefox, on the other hand, does not do any intranet detection and must always be configured to allow SSO authentication.

    IE: Options, Security, Local Intranet, Sites, Advanced
    FF: about:config, network.automatic-ntlm-auth.trusted-uris

    As you are doing AD, it shouldn't be too much trouble to GPO push the config to all machines.
Reply
  • 0
    Most browsers will refuse to send SSO credentials to what they think may be random sites on the internet.  Unless otherwise instructed, they will only SSO to sites that are on the local intranet.

    IE does some things to automatically detect if the server asking for credentials is on the intranet or not.  I don't know the details, you would have to ask Microsoft.  Some of this might be things like is it on the same IP subnet.  From what I've heard in "most" customers configurations, IE will automatically detect the UTM as being intranet.

    Firefox, on the other hand, does not do any intranet detection and must always be configured to allow SSO authentication.

    IE: Options, Security, Local Intranet, Sites, Advanced
    FF: about:config, network.automatic-ntlm-auth.trusted-uris

    As you are doing AD, it shouldn't be too much trouble to GPO push the config to all machines.
Children
  • 0 in reply to Michael Dunn
    Thanks for the reply Michael. Even the Context Sensitive Help is confusing and inconsistent presenting what amounts to mutullly exclusive information with regards to Transparent Mode and AD/SSO.

    "... when you have configured Active Directory Single Sign-On....This has the effect that NTLM user authentication will be used to authenticate clients"


    and in the same section...

    "In transparent mode, the Web Filter will strip NTLM authentication headers from HTTP requests."

    So, the help basic says when AD SSO is used/configured, NTLM authentication is used but when in transparent mode, the NTLM headers will be stripped!

    And a packet capture on the UTM (in Transparent Mode with AD/SSO) with an IE client, shows missing NTML information in the headers - hence the failure to authenticate in Transparent Mode.

    Even stranger was that when I opened Chrome, authentication was done, browsing worked fine and no auth prompt, and then stopped with some pages passing and others prompting for credentials!

    Inconsistent and unreliable behaviour and there are now many of us working on this issue (UTM Support) and trying to wrap our heads around this behaviour/feature.
Unfiltered HTML