Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 1 subscriber
  • Views 11249 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IIS Authentication problem

skar
Hello guys,

One of our users is trying to access an website where authentication is required. We are running Astaro 7.402. The destination webserver is IIS. I tried the following:

- Surf to the site with Internet Explorer, without proxy. Authentication window appears.
- Surf to the site with Internet Explorer, with proxy. Authentication window doesn't appear.
- Surf to the site with Mozilla Firefox, without proxy. Authentication window appears.
- Surf to the site with Mozilla Firefox, with proxy. Authentication window appears.

I also sniffed the headers from the destination site.

Without proxy: 
GET /x/x/index.html HTTP/1.1

Host: x.x.x.x

User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; nl; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11 GTB5 (.NET CLR 3.5.30729)

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: nl,en-us;q=0.7,en;q=0.3

Accept-Encoding: gzip,deflate

Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7

Keep-Alive: 300

Connection: keep-alive

Cache-Control: max-age=0



HTTP/1.x 401 Unauthorized

Content-Length: 1656

Content-Type: text/html

Server: Microsoft-IIS/6.0

WWW-Authenticate: Negotiate

WWW-Authenticate: NTLM

X-Powered-By: ASP.NET

Date: Fri, 03 Jul 2009 06:50:05 GMT


With proxy: 
GET /x/x/index.html HTTP/1.1

Host: x.x.x.x

User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; nl; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11 GTB5 (.NET CLR 3.5.30729)

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: nl,en-us;q=0.7,en;q=0.3

Accept-Encoding: gzip,deflate

Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7

Keep-Alive: 300

Proxy-Connection: keep-alive

Cache-Control: max-age=0



HTTP/1.x 401 Unauthorized

Content-Type: text/html

Server: Microsoft-IIS/6.0

WWW-Authenticate: NTLM

X-Powered-By: ASP.NET

Date: Fri, 03 Jul 2009 06:50:59 GMT

Content-Length: 1656

Accept-Ranges: none

Proxy-Connection: Keep-Alive


It seems that Astaro strips one of the two WWW-Authenticate arguments. Is there an solution for this problem. I tried searching the forum, but didn't find a good solution for this. 

Thanks in advance,

Jasper


This thread was automatically locked due to age.
  • 0 in reply to BAlfson
    I have a customer who also now has this issue. We are running an ASG320 with 7.404 loaded.

    When the user goes to a site where he needs to authenticate against a sharepoint server the authentication dialogue pops up but he cannot authenticate. The authentication box just pops up again after he enters his details. I have tried making an exception with every check,AV,authentication etc switched off and it still does not work. 

    Anybody found a workaround before I go to Astaro support?

    Thanks
    Richard
  • FormerMember
    0 FormerMember
    That's a little different than the issue where the user doesn't get any authentication dialog at all. Your issue sounds like a different problem. I would suggest looking at the Http proxy log to see what is being passed.
  • 0 in reply to FormerMember
    I had to move the user to the same subnet as the ASG and then add a bowser exception - terrible work-a-round but it worked...
  • 0
    Sorry for the time wasting, asked the user to double check the information he had given me and both the url and login credentials were incorrect! Now logging in and navigating the site fine.

    Moral: Never trust what an end user tells you "I can log in fine over ADSL"

    Thanks for the help.
  • 0 in reply to rrimmer
    whew - I never had any luck getting it to work properly...good work
  • 0
    I'm using sharepoint services 3.0 on a Windows 2008 enterprise box.  I've configured dnat/snat to http service for my Windows box. I've two ASG, one in my central office and another in the branch office, I configured a VPN between two offices, but I was not able to authenticate to my sharepoint server (I'm using NTLM authentication in my sharepoint). I was using transparent mode, but the solution in my case is to put in the browser configuration (p.e. IE /Toots /Connections / Lan ) the ASG address and the port of my ASG, but I need to replicate this configuration in more branches. For PC based machine is OK, because they don't move from one office to another, but for roaming user become in a nightmare, I accoplished this task using pac (proxy automatically configuration) file in my IE. My sample PAC file is:


    function FindProxyForURL(url, host) 

    // variable strings to return
    var proxy_sv = "PROXY 192.168.50.150:8080";
    var proxy_sy = "PROXY 192.168.60.1:8080";
    var proxy_hn = "PROXY 192.168.70.150:8080";
    var proxy_op = "PROXY 192.168.80.150:8080";
    var proxy_cr = "PROXY 192.168.90.150:8080";
    var proxy_pa = "PROXY 192.168.100.150:8080";
    var proxy_ni = "PROXY 192.168.110.150:8080";
    var proxy_no = "DIRECT";

    // Proxy if PC is on local LAN
    if (isInNet(myIpAddress(), "192.168.50.0", "255.255.255.0"))
    return proxy_sv;
    else
    if (isInNet(myIpAddress(), "192.168.60.0", "255.255.255.0"))
    return proxy_sy;
    else
    if (isInNet(myIpAddress(), "192.168.70.0", "255.255.255.0"))
    return proxy_hn;
    else
    if (isInNet(myIpAddress(), "192.168.80.0", "255.255.255.0"))
    return proxy_op;
    else
    if (isInNet(myIpAddress(), "192.168.90.0", "255.255.255.0"))
    return proxy_cr;
    else
    if (isInNet(myIpAddress(), "192.168.100.0", "255.255.255.0"))
    return proxy_pa;
    else
    if (isInNet(myIpAddress(), "192.168.110.0", "255.255.255.0"))
    return proxy_ni;
    else
    return "DIRECT";
    }

    I combined this solution with a Group Policy to deploy it, and it work for PC users and Laptop users.