Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 1400 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Ad-sso

FunnyDingo
Hello,

I think it's small problem, but I can see the solution :-(

I've configured my ASG (v7) with 2 adirectory backends (DomainA and DomainB), made astaro a member of DomainA, set proxy authentication to AD-SSO and added a group to the allowed groups list.

But users wich are not member of this group can access the web. If I take a look into the authentification live log, I see only the test request from the adirectory server test dialog.

I've no idea how to find the problem. Any hint?

Kind regards,
Funny


This thread was automatically locked due to age.
  • 0
    Hi Funny,

    When you first installed the ASG a Packet Filter rule like 'Internal (Network) -> Web Surfing -> Any : Allow' was created.  Disable that rule, and you will block those not a member of the allowed AD group.

    Cheers - Bob
  • 0
    Sounds good, but didn't help... My Test user can surf anyway 

    2012:09:25-16:04:33 astaro httpproxy[18896]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="x.x.x.x" user="test" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="24646" time="124 ms" request="0xb1620590" url="www.google.de/.../html"


    Maybe I've missconfigured something? E.g. the group: The "group selector" inserted the DN, but somewhere I read, that the group name is correct and that this is a small bug, is it?
  • 0
    Yes, that was a problem with V7.  It was fixed for awhile in V8, but still appears in some systems.  Check out HTTP/S Proxy Access with AD-SSO 

    I'm a bit confused though as, in my experience, the problem normally is that no one is selected, not that others are selected in addition.

    Cheers - Bob
  • 0
    I've checked out the link and compared the description to my configuration. I missed to enable 'Create users automatically', but enabling this option does not help: every domain user is able to use the proxy. (I've tested with a local administrator, it that case a login box is shown as expected)

    The test dialog in the adirectory configuration works fine too. If I add the domain user to the AD-Group "Proxy-Users" it's listed in the test result. If I remove the user from the group, only the "Active Directory Users" is listed. IMO that's a good sign that authentication generally works.

    Should I see entries in aua.log for users using the proxy? I can only see entries for caller webadmin if I login to the webadmin and entries for "adirectory-authentication-tests".
  • 0
    I no longer can change that document, but, if I could, I would eliminate the part about 'Create users automatically'.  I originally wrote that document years ago, and missed that the last time I updated it.  It's not a problem in small organizations, but in an organization of any size it is.  Disabling a user in AD does not cause the synced user to be disabled in the Astaro.  Deleting a user from AD does not disable or delete the synced user in Astaro.  Local users are required only for some VPNs and for individual Quarantine Reports.  They are unnecessary for AD-SSO.

    There's nothing in the aua.log for AD-SSO.  There should be something logged in your AD server though when kerberos approves an access, but I don't remember where that is.

    Cheers - Bob
  • 0
    OK. I've disabled this option.

    But currently I've no idea why the authentication does not work :-(