Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 33 replies
  • Subscribers 0 subscribers
  • Views 25046 views
  • Users 0 members are here
Options
Suggested

How to get /owa and /ecp to wortk with forms-based reverse authentication

FredBrown
I'm struggling with getting UTM 9.2 to support both /owa and /ecp when using Reverse Authentication. Here's my configuration:

Virtual Webserver: mail.***.net with Pass Host Header enabled
Real Webserver: Exchange 2010 CAS server on port 443
Site Path Routes:
    /owa using Reverse Authentication Profile "OWA"
    /ecp using Reverse Authentication Profile "ECP"
Authentication Profiles:
OWA using Form for frontend mode, basic for backend mode and mail for realm
ECP using Form for frontend mode, basic for backend mode and mail2 for realm

If I browse to https://mail.***.net/owa, I'm presented with the UTM form using the mail realm and can login and access my mail. If I try to add a mailbox rule - which uses ECP - I'm again presented with the UTM form with mail2 as the realm and have to login again.

Once I'm logged in to both /owa and /ecp, I can switch between my mailbox and my settings.

My question is how to I configure /ecp so my credentials are simply passed through after signing in to OWA?

I tried using the same authentication profile for /owa and /ecp but that only allows me to connect the ECP. I can't access my mailbox.

Any help would be appreciated.
Parents
  • 0
    @FredBrown
    You are on the right track! Since you are ok with having the same users/groups for /ecp and /owa in the authentication profile (Exchange can still deny improper access itself) you can use one profile instead of two. Do this:
      * create one authentication profile containg all relevant users/groups
      * make sure the authentication profile's 'backend mode' is set to 'Basic'
      * bind that profile to the root Site-Path ('Path' value is set to '/') for the Virtual Webserver protecting your Exchange
      * make sure the Exchange server is configured to expect Basic Authentication (often dubbed 'Standard Authentication' in Microsoft language)

    From what you wrote I think you already did this but I wanted it written down for completness sake :-)
    If you still encounter login prompts after logging in on '/' then you might have another authentication profile bound on a path on that Virtual Webserver (we support cascading authentication configurations). If you want to avoid the second login you will have to remove them (in the Site-Path configuration).

    Do you still encounter problems with this configuration ?

    PS: I strongly recommend using HTTPS for the internal connection between WAF and Exchange because of Basic Authentication.
Reply
  • 0
    @FredBrown
    You are on the right track! Since you are ok with having the same users/groups for /ecp and /owa in the authentication profile (Exchange can still deny improper access itself) you can use one profile instead of two. Do this:
      * create one authentication profile containg all relevant users/groups
      * make sure the authentication profile's 'backend mode' is set to 'Basic'
      * bind that profile to the root Site-Path ('Path' value is set to '/') for the Virtual Webserver protecting your Exchange
      * make sure the Exchange server is configured to expect Basic Authentication (often dubbed 'Standard Authentication' in Microsoft language)

    From what you wrote I think you already did this but I wanted it written down for completness sake :-)
    If you still encounter login prompts after logging in on '/' then you might have another authentication profile bound on a path on that Virtual Webserver (we support cascading authentication configurations). If you want to avoid the second login you will have to remove them (in the Site-Path configuration).

    Do you still encounter problems with this configuration ?

    PS: I strongly recommend using HTTPS for the internal connection between WAF and Exchange because of Basic Authentication.
Children
No Data
Unfiltered HTML