Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 756 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Inherited authority on HTTP proxy

IngoPohlschneider
Hello
I wonder if it is possible to do the following:

I would like to create 5 AD groups (from basic to full authority) which are used by an http policy.

In the ASG I would like to enable sites e.g. for the second group and all higher groups should get this privileges passed.

my aim is to enable a website on one level and all the upper layers should get this site automatically.

this would allow our it support to easily enable websites.

thanks

chaser


This thread was automatically locked due to age.
Parents
  • 0
    I may be confused by your choice of the word "enable."

    The short answer is...

    Profiles are processed sequentially until one matches the user's IP; no more are processed after that for that packet.

    Inside the chosen Profile, the Filter Assignments also are processed in order until one matches the user's name or group he's a member of; subsequent Assignments are likewise not considered.

    HTTP Profiles don't work the way your idea assumes.  I started a thread earlier this year to discuss https://community.sophos.com/products/unified-threat-management/astaroorg/f/55/t/43932.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    I may be confused by your choice of the word "enable."

    The short answer is...

    Profiles are processed sequentially until one matches the user's IP; no more are processed after that for that packet.

    Inside the chosen Profile, the Filter Assignments also are processed in order until one matches the user's name or group he's a member of; subsequent Assignments are likewise not considered.

    HTTP Profiles don't work the way your idea assumes.  I started a thread earlier this year to discuss https://community.sophos.com/products/unified-threat-management/astaroorg/f/55/t/43932.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    I've managed to build the tiered approach that you're looking for by leveraging stacked Content Filters across 10 E-Directory groups.

    * 1 Proxy Profile is attached to our ENTIRE internal network.
    * 10 Filter Actions are attached to the proxy profile - One E-Dir group is assigned to each filter action
    *10 Content Filters are created. Level 1 has the least access, 10 has the most. Make sure that each Content Filter blocks / allows different categories than the rest of the filters, the total content filter will build when you start joining the filters to a filter Action.

    Join CF1 to FA1
    Join CF1, CF2 to FA2
    Join CF1, CF2, CF3 to FA3

    The end result is Generic Browsing is assigned to an E-Directory group called WebLevel1, which in turn is assigned to Filter Action 1. Generic Browsing & Online Shopping = WebLevel2. Generic Browsing & Online Shopping & Social Networking = WebLevel3

    Pros:
    Very easy to manage
    Content filters are nested so when you add a website category to a filter, it is applied to several levels of access.

    Cons:
    There is no way to grant a user access to say Generic & Social Networks without also giving them Online Shopping
    Website access is almost exclusively done through Trusted Source categorizations, and it is a pain to grant access to specific websites since you've got to make a change to all of the affected Filter Actions, or make a global change on the HTTP exceptions list.