astaro unit not on local network

Our IU provides an astaro blade for our school at their site.

I would think that would be more expensive than having an ASG at the perimeter of your network.  Do you just want to use the Web Security ability?

The district firewall will need to allow port 389 traffic to your AD server.  I don't know what timing issues there might be, but it seems like you should be able to make this work.  I'll be interested to see a summary of the tricks you had to use.

Cheers - Bob
PS What is IU?

IU is intermedeate unit.  That is a state created agency that helps districts in a variety of ways.  Our IU provides free web content filtering with the Astaro blades.  However, they insist on keeping those units at their own building.  I have complete management access to the unit.  I've tried to explain how much each district could gain by having the units on site, but to no avail.  I'm thinking of trying radius rather than single sign on.  That way, the unit does not have to join our domain.

Too bad, I was looking forward to learning how to accomplish SSO with a remote Astaro.  Maybe someone else can comment on this.

I'm curious; do the teachers have their browsers configured to point at the Astaro as a proxy?  Are you running the proxy in "Basic user authentication" mode?

Cheers - Bob

When teachers login, IE is configured to use Astaro as a proxy server with basic user authentication.  I manually added them (50 users or so) to the astaro unit, created a group for them, and gave that group relaxed internet access.  Students access the internet with the default astaro filter (which is very restrictive) using the transparent proxy.  It works that way, but we have no record of what internet sites individual students have visited.

I had no luck with radius, but did get active directory authentication working.  I was able to "prefetch" all my users.  Now I am using transparent proxy with authentication.  Now I need to work out the login/logout of the astaro unit thing.  If a student doesn't logout of the astaro unit before logging off the PC, the next student can login and astaro thinks the previous student is still logged in.  I'll be searching the forums.

Please do tell us what tricks were necessary for using AD remotely with the Astaro.

Why not use a GPO to have all PC browsers point at the Astaro proxy so that you can use SSO?  I think you also could use a GPO to set the idle time for screensavers to a low number, like 1 minute and force the next user to login to the PC.

Cheers - Bob

What I have done is create an AD server on the Astaro unit that points to my internal domain controller via a public IP address.  At our Cisco router/firewall, I used NAT to point that public IP address at the internal domain controller.  That enabled me to prefetch all my users. At that point I tried transparent mode with authentication.  But since the astaro unit sees all activity coming from my end as coming from the same IP address, it didn't work. I then used group policy to set the proxy address and port for IE on my student users.  This enables students to login to the proxy, and lets the astaro unit track and log their activity.  I would love to use SSO, but the astaro unit needs to join my internal doamin to do that.  Does anybody know if this can be done with a NAT connection such as I have?  One way to find out......

I've had no success joing the domain.  I renamed the unit to reflect my internal domain, added a DNS request route to my AD DNS server, but no dice.  Suggestions?