Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 1078 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Authentication only for some?

tlemmy
UTM SG210

I have staff and students. Staff is in AD and students are not. 

I have 2 policies set up. A strict one for students and a less strict one for staff.

Ad integration is set up and working. If I turn on authentication I can see staff authenticating. The problem is students that are not able to authenticate get blocked.

I set up profiles. The first one is set to authenticate and the second one is set not to authenticate. I make sure the first one does not say block access on authentication failure. When activated again I see my AD users authenticating fine but anyone not in AD is still getting denied and not moving down to the next profile and getting out with the stricter policy.

What am I doing wrong?


This thread was automatically locked due to age.
  • 0
    Are staff and students on the same subnet? 

    For your first profile what polices are active for it? Make sure you don't have default/base policy in there, so it should hit your policy for staff on the first profile, then the second profile will have policies for students and then default as well.
  • 0 in reply to Ross86
    Are staff and students on the same subnet? 

    For your first profile what polices are active for it? Make sure you don't have default/base policy in there, so it should hit your policy for staff on the first profile, then the second profile will have policies for students and then default as well.


    Default is on the bottom

    Staff policy is first and has auth enabled with the checkmark out (tried it both ways)

    Then the second policy is the normal student policy with no auth turned on.

    Then the default is on the bottom with the block all

    They are on different segments and I am leveraging that now and its working fine to split the policies. The problem is we want the logs to reflect the users too. 

    The error I get is that auth is required and the session gets killed.
  • 0
    Are you able to take a screenshot of your web filter profiles page?

    What does it say when you use the policy test tool for the student subnet?

    I had a similar problem in that my users needed AD SSO but I wanted my servers to have no auth. Easy way round it was to create a network definition for the users range and add that to the user policy then the default no auth policy had the internal adapter so anything not covered in the above policies would finally hit the default.
  • 0
    It sounds like the Students are receiving the default policy in the first profile.  Please show a line from the Web Filtering log where one of the students was blocked.

    If this is all done in Transparent, you can't have a second Profile for the same subnet.  The best solution is to create a GPO to distribute the HTTPS Signing CA and to configure the teachers in Standard mode.  Click on my name beside the Cyrano avatar and send me an email requesting a document I maintain, "Configure HTTP Proxy for a Network of Guests."

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Here is the config. If anyone see's anything I have wrong please let me know. The error I get is an authentication error when they do not authenticate instead of hitting the next group and getting the stricter policy. I can turn it back on and get the error if you need the exact wording. Just let me know.

    Policy List


    Policy that will authenticate with AD



    Policy I want it to hit if the user is not in AD and on a chromebook or something else.

  • 0
    Please show a line from the Web Filtering log where one of the students was blocked.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?