Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 3 replies
  • Subscribers 0 subscribers
  • Views 1656 views
  • Users 0 members are here
Options
Suggested

[9.200] AD/SSO in Transparent Mode Not Working

PlatosGimp
I have been working on this feature for weeks now, numerous UTM/AD-Server combinations etc and behaviour is inconsistent or not working at all.

1: UTM and AD Server can both resolve each other by FQDN
2: UTM only has AD Server as DNS forwarder
3: UTM Joined to AD Domain
4: User (BigBirdy) tested in Auth Server settings and returns...

User authentication:
Authentication test passed.

User is a member of the following groups:
Active Directory Users

5: Create new (AD Profile) Proxy Profile for LAN in Standard Mode - Active Directory SSO
6: Create new (AD Policy) with "Active Directory Users" group
7: Edit "Base Policy" to also use Standard Mode - Active Directory SSO
8: Open IE, manually set proxy settings by IP to UTM (192.168.1.1)
9: Close/open IE and browse. 

User consistently recognized as the AD user in Proxy logs.

2014:03:20-13:23:44 UTM-92-HW-2 httpproxy[30282]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.1.50" dstip="198.35.26.96" user="UTMPODNET\bigbirdy" statuscode="200" cached="0" profile="REF_HttProContaInterNetwo (AD Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="20" request="0xa1cad540" url="meta.wikimedia.org/.../Special:RecordImpression

2014:03:20-13:23:44 UTM-92-HW-2 httpproxy[30282]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.1.50" dstip="198.35.26.112" user="UTMPODNET\bigbirdy" statuscode="200" cached="0" profile="REF_HttProContaInterNetwo (AD Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="964" request="0xde1b320" url="upload.wikimedia.org/.../png" application="wikipedi"

2014:03:20-13:23:44 UTM-92-HW-2 httpproxy[30282]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.1.50" dstip="198.35.26.112" user="UTMPODNET\bigbirdy" statuscode="200" cached="0" profile="REF_HttProContaInterNetwo (AD Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2270" request="0xa1848cc0" url="upload.wikimedia.org/.../png" application="wikipedi"

So far so good.

10: Change "AD Profile" to "Transparent Mode - Active Directory SSO
11: Change "Base Policy" to "Transparent Mode - Active Directory SSO
12: Remove manaul proxy settings in IE, login out and back in, open IE

Prompted for credentials.

Ideas/suggestions?
Parents
  • 0
    The help is still being worked on.  I just took a look, what is in 9.200 is not the most recent text for this topic, and some of it is cut and paste from 9.1.

    For example, which us says "the Web Filter will strip NTLM headers" that is perfectly correct - it will not pass NTLM headers through the proxy and to a internet site.  What may be confusing is "strip" means remove headers from packets, but it doesn't mention that it will actually use those headers if AD SSO is configured.


    The AD SSO functionality has been a feature of the Sophos SWA for several years and has the exact same issues.  The Sophos Support people (who I have talked to and come from a SWA background) are well aware in this issue and can assist people in resolving it.

    It is unclear to me if you are a Sophos employee however you can contact me internally and I can send you updates to help and put in contact with the support people who should know this.
Reply
  • 0
    The help is still being worked on.  I just took a look, what is in 9.200 is not the most recent text for this topic, and some of it is cut and paste from 9.1.

    For example, which us says "the Web Filter will strip NTLM headers" that is perfectly correct - it will not pass NTLM headers through the proxy and to a internet site.  What may be confusing is "strip" means remove headers from packets, but it doesn't mention that it will actually use those headers if AD SSO is configured.


    The AD SSO functionality has been a feature of the Sophos SWA for several years and has the exact same issues.  The Sophos Support people (who I have talked to and come from a SWA background) are well aware in this issue and can assist people in resolving it.

    It is unclear to me if you are a Sophos employee however you can contact me internally and I can send you updates to help and put in contact with the support people who should know this.
Children
No Data
Unfiltered HTML