How to get /owa and /ecp to wortk with forms-based reverse authentication

Hi ,

Here is the link for you :

https://sophserv.sophos.com/repo_kb/120454/file/Configuring%20UTM%20firewall%20for%20Exchange.pdf

All my best ,
Gilipeled

Hi Gilipeled,

Thanks for the link but that is for UTM 9.1 that doesn't include the new UTM 9.2 Reverse Authentication Profile where UTM provides the forms rather than the Exchange CAS server. I have deployed WAF previously with great success but it's the new Reverse Authentication feature in 9.2 that's giving me the grief.

Any help in configuring Reverse Authentication for both OWA and ECP would be much appreciated.

Thanks,

I am no expert with 9.2 - but what happens if the Frontend realm is the same for both? you have mail and mail2? To me this should be the same.

@stealthmatt
You should not ever be able to assignt he same realm to two different authentication profiles. I understand where you are coming from with that thought but it's the wrong way ;-)

@FredBrown
Since you are talking about /owa and /ecp I assume you want to have different 'allowed users/groups' for whatever authentication profiles you assign to those paths, e.g. 'exchange normal users' and 'exchange adminstrators'. That means you would definitely need to have two different authentication profiles, which - with the current version - will not share their internal state with each other. For the moment, I am afraid, there is no configuration that will save you the second login.

I am working on removing this limitation but it will take some time. I cannot promise you it will make it into the next bug fix release for 9.2 but I will certainly try!

Hi Thomas,

I'm actually trying to avoid the second logon altogether. I'm going to have the same users/groups for both /owa and /ecp but I don't know how to configure reverse authentication without getting this prompt. Can I just create a realm for the "/" UNC and have it support both /owa and /ecp? The problem I'm trying to overcome is getting either a UTM form prompt or an OWA username/password prompt when someone who has connected via /owa using a reverse authentication profile decides they want to change their password, setup an out-of-office or similar. Any of these tasks switch from /owa to /ecp and I want people to not be re-prompted for credentials.

Thanks,

@FredBrown
You are on the right track! Since you are ok with having the same users/groups for /ecp and /owa in the authentication profile (Exchange can still deny improper access itself) you can use one profile instead of two. Do this:
  * create one authentication profile containg all relevant users/groups
  * make sure the authentication profile's 'backend mode' is set to 'Basic'
  * bind that profile to the root Site-Path ('Path' value is set to '/') for the Virtual Webserver protecting your Exchange
  * make sure the Exchange server is configured to expect Basic Authentication (often dubbed 'Standard Authentication' in Microsoft language)

From what you wrote I think you already did this but I wanted it written down for completness sake :-)
If you still encounter login prompts after logging in on '/' then you might have another authentication profile bound on a path on that Virtual Webserver (we support cascading authentication configurations). If you want to avoid the second login you will have to remove them (in the Site-Path configuration).

Do you still encounter problems with this configuration ?

PS: I strongly recommend using HTTPS for the internal connection between WAF and Exchange because of Basic Authentication.

Hi!

I've changed my site path routing to just be "/" rather than /owa or /ecp. But now after the UTM forms-based authentication, I simply get the default IIS 7 screen rather than the OWA screen. The problem seems that after my username/password is confirmed by the authentication profile, it simply passes along "/" as the path due to the site path routing setting. This, of course won't work unless I somehow do a redirect on the IIS server itself from "/" to "/owa".

So my question still stands. How do I get an authentication profile to allow UTM to handle the logon form and then be able to directly access OWA (via /owa) and be able to also allow my to connect to /ecp when I need to add an out of office or other mailbox rule. TMG is able to handle this but one of our clients wants to move away from TMG to UTM.

I'm willing to give someone access to my lab to assist with this. Please let me know via a private message.

Thanks!

I'm having the same problem and I'm wondering if there was a solution to this?

Hi,

we're working on this issue. With version 9.202, it will be possible to use one reverse authentication profile for multiple site path routes. 
I'm afraid not till version 9.3 it's possible to have redirection to the original requested path after authentication.

Sabine

Where can I find the procedure for reverse authentication to OWA?
I'm using 9.201-23

Thank you.