Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 3 subscribers
  • Views 1968 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

How do I identify Web users by name in an AD environment?

adrian.bromley
I am looking for a UTM device that can at least log the names of users browsing, perhaps even block certain sites or categories by username (or better still by AD group).

I have configured an AD authentication server and the SSO details.  I have used the test button on the authentication server, which worked.

However, I do not know what to do next.  Do I have to install the Client Authentication app, or does the SSO cover this?  What do I do in the UTM to cause usernames to be logged?

Many thanks

Adrian


This thread was automatically locked due to age.
Parents
  • 0
    These are some thought-provoking questions, Adrian - thanks!
    Does the UTM pass back my creds to a DC for verification? has it cached them?

    Yes, I don't remember at the moment if it then caches them for 5 minutes or 15.

    Does it check only the PCs existing access token and group membership?

    That's a good question.  I'd be interested to learn to the contrary, but I believe that, for non-AD/SSO auth, it only considers membership in the AD Security Group(s) used by a UTM Backend Group.

    Kerberos is only used when the browser addresses the UTM via FQDN.  Whether it's used with manual auth as it is with AD/SSO is a new question.

    I think you must look in the AD server's logs to see which method was used for a specific query.  There's no debug log that I know of for UTM Web Filtering, and the regular log doesn't give precise information about these questions.

    Cheers - Bob
Reply
  • 0
    These are some thought-provoking questions, Adrian - thanks!
    Does the UTM pass back my creds to a DC for verification? has it cached them?

    Yes, I don't remember at the moment if it then caches them for 5 minutes or 15.

    Does it check only the PCs existing access token and group membership?

    That's a good question.  I'd be interested to learn to the contrary, but I believe that, for non-AD/SSO auth, it only considers membership in the AD Security Group(s) used by a UTM Backend Group.

    Kerberos is only used when the browser addresses the UTM via FQDN.  Whether it's used with manual auth as it is with AD/SSO is a new question.

    I think you must look in the AD server's logs to see which method was used for a specific query.  There's no debug log that I know of for UTM Web Filtering, and the regular log doesn't give precise information about these questions.

    Cheers - Bob
Children
No Data