Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 1 reply
  • Subscribers 1 subscriber
  • Views 490 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Proxy Question

Blue Tree Technology
Ok.  I have been trying to get my mind around how to setup the proxy.  I have some basic questions and I apologize if they have been answered already.  

From the Instructions:
"Note on Kerberos authentication support: In order for opportunistic SSO Kerberos support to work, the clients MUST use the FQDN hostname of the ASG in their proxy settings—using the IP address will not work. NTLMv2 mode is not affected by this requirement, and will automatically be used if it is not met, or if the browser does not support Kerberos authentication."

Is this located under Management | System Settings | Hostname ?
If I use the FQDN then IE will not prompt for a password?

The only way to completely block users or PC's on the network is to use some type of authentication not Transparent Mode?

I hope that made sense.  I'm tired and going to bed now.

Thanks,
RR


This thread was automatically locked due to age.
Parents
  • 0
    RR, I can confirm that there's no password prompt for IE if you have the Astaro set up correctly.  If you have AD, then using HTTP Profiles with authentication by 'Active Directory SSO' is really slick.  It does require each client to be touched to point IE at the Astaro as a Proxy server.

    In transparent mode, the Astaro records User="" in the HTTP log instead of identifying the user; it does still record the user's IP though.  If you want to use Transparent mode, then I believe you are correct that you are limited to blocking by subnet or individual IP.

    Check the Known-Issues list because there is a work-around for a problem (apparently fixed in 7.4) where a user that doesn't qualify for any profile is handled like the proxy was in Transparent mode instead of blocking the user as it should.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    RR, I can confirm that there's no password prompt for IE if you have the Astaro set up correctly.  If you have AD, then using HTTP Profiles with authentication by 'Active Directory SSO' is really slick.  It does require each client to be touched to point IE at the Astaro as a Proxy server.

    In transparent mode, the Astaro records User="" in the HTTP log instead of identifying the user; it does still record the user's IP though.  If you want to use Transparent mode, then I believe you are correct that you are limited to blocking by subnet or individual IP.

    Check the Known-Issues list because there is a work-around for a problem (apparently fixed in 7.4) where a user that doesn't qualify for any profile is handled like the proxy was in Transparent mode instead of blocking the user as it should.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
No Data