Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 1375 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[9.002] Mail Quanrantine and Remote Access in User Portal problems

giomoda
Hello All.

I'm in a bit of a pickle here. I've noticed a odd behavior with Sophos UTM and User Portal when some conditions are met. I'll try to sumarize it all up:

- Active Directory and RADIUS authentication enable
- L2TP/IPSec enable with RADIUS authentication
- SMTP Mail Protection enable, relaying to a Exchange 2010 server
- Email addresses are obtained trhough prefetch
- User portal access enable for quarantine management and remote access configuration

Previously I had an issue with Remote Access not being displayed in User Portal. This issue was solved by moving RADIUS authentication before Active Directory authentication under Authentication Servers. Today I enabled Email Protection. During my tests I noticed that no Email Protection features was being displayed in User Portal. After banging my head againt the wall a few times I decided to move Active Directory before RADIUS again and voilà, all Email Protection features became accessible through user portal. Not to my surprise, Remote Access then became unavailable again. 

That being said, do I need to choose one over another? Is there any way I can have both features available in User Portal? I'm not sure if this should be considered a bug or a feature, so I though I might ask before going on and calling it a bug.

Please, forgive me for slaughtering English, but I'm a little bit rusty nowadays.

Regards - Giovani


This thread was automatically locked due to age.
  • 0
    Previously I had an issue with Remote Access not being displayed in User Portal. This issue was solved by moving RADIUS authentication before Active Directory authentication under Authentication Servers.

    Several of us have been fighting this issue for years.  I don't see that this works in V8.306 - are you telling us that this is now fixed in V9?  Great news - Thanks! (Maybe I spoke too soon...)

    It's not so much a bug in terms a progammer would acknowledge, just in terms a user would experience. [:D]

    Yes, I think it's a serious design error.  I bet they'll have to add different ordering sections for Mail, Web and Remote Access, and also query those for each section in the User Portal.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    I don't see that this works in V8.306 - are you telling us that this is now fixed in V9? 


    Actually, I had this working before upgrading to V9. All I did was set L2TP/IPSec authentication to RADIUS and move RADIUS autentication on top of the list under Authentication Servers. That gave me the Remote Access link in User Portal so users could download their certificates. 

    I agree that from a user perspective, this could and should be considered a flaw.  The only way to get Remote Access enable in User Portal with Active Directory authentication on top of RADIUS authentication is to enable SSL VPN, but then no L2TP/IPSec certificate is displayed for download, only SSL VPN stuff. 

    It's not a dealbreaker though. I'd just like to see this working in the future.

    Regards - Giovani
  • 0
    Actually, I had this working before upgrading to V9. All I did was set L2TP/IPSec authentication to RADIUS and move RADIUS autentication on top of the list under Authentication Servers. That gave me the Remote Access link in User Portal so users could download their certificates. 

    I think we need some of your magic, Giovani! [;)]  I still can't get it to work with 8.306 and many of us here have complained.  I think my last attempt before yesterday was with 8.303.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    I still can't get it to work with 8.306 and many of us here have complained.  I think my last attempt before yesterday was with 8.303.


    Do you mean this?



    If this is it, I just got it working with a fresh install of 8.306. Here are the key points:

    - Astaro joined AD domain and Active Directory SSO enable
    - Both RADIUS and Active Directory authentication servers added to Authentication Servers
    - RADIUS server on top of Active Directory Server
    - Prefetch and backend sync on login enabled. Also, automatic user creation enable for End User Portal. I enabled it for every facility but WebAdmin, but End User is enough to allow user to login.
    - L2TP/IPSec VPN enabled with RADIUS authentication
    - Two Network Policies created under Windows 2008 NPS, one for portal logins and one for L2TP authentication. Basically they're the same, except for the NAS Identifier. Of course, you could also create one single policy and allow everything from UTM to be authenticated for a test enviroment.

    The key here is to use RADIUS authentication to login into User Portal. If any other mechanism is used, such as Active Directory, Remote Access links will not be displayed for the logging user. I guess this happens because L2TP/IPSec get tied up to RADIUS authentication so deeply that it will only allow users to access this feature when authenticating through RADIUS at the portal.

    And that's exactly what causes my issue. Email Quarantine links, as opposed to Remote Access, are only displayed when you login with Active Directory authentication. RADIUS authenticatiom will not work, IMO, because the portal has no way of knowing wich email address is tied to the user when authenticating with RADIUS.

    I would like to have them both, but this doesn't seem possible at the moment. I guess some advanced tweaking will be necessary to get them both displaying for the users, given how everything is tied up at the moment.

    Let me know if this was at all of any help Bob.

    Regards - Giovani
  • 0
    Ahh - auth with RADIUS into the Portal - I bet that's it - Thanks, Giovani!

    I've PM'd one of the VPN developers to look at this thread.  I think you've discovered a behavior that was unknown.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?