Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 4432 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Transparent with Authentication and Terminal Server

mkiehl
In version 7.5 we have starting using the http_proxy in transparent mode withAD authentication and have noticed a strange issue. Each user should be required to log in but as soon as one person logs in all other users show as that user. As you can imagine this also flows down to reporting which is a problem. The preceding users are "NOT" asked for login credentials and just browse at will. 

Can someone confirm this?????

[:S]


This thread was automatically locked due to age.
  • 0
    well, you answered you question almost on your own in the subject of your question.

    The "transparent with authentication" mode of the 7.5 http proxy is based on the IP adress of the client, not on the "user session" itself. After successfull authentication of one user, the users IP address will be treated as "authenticated" for the time period defined in the "HTTP/S-advanced" configuration tab (default: 900 sec.)

    With other words: you cannot use this feature to enforce web authentication for users on terminal servers,  or if your users are behind a proxy server, or behind a nat router/firerwall. In all these cases the ASG can only see ONE IP adress for ALL users, so EVERY user will be "autheticated" as soon as the first one has authenticated.

    However, if the terminalserver is under your control, it should be no big issue to configure the browsers proivided for the users on tte terminal server so they use a proxy and the users cannot modify this setting. Then choose "Basic Authentication" mode instead of "transparent with authentication" and you are done.
  • 0
    addition: you even can use the "Active Directory SSO" mode, if the users log in at the terminal server using their AD credentials.

    AD SSO mode is working also if all users have the same IP (in contrast to eDir SSO, which is restricted to environments where every user has a separate IP)
  • 0
    Ölm's solutions should be the preferred way, but, if you can't get people to configure their browsers to point at the proxy, you probably can accomplish what you want by putting the teminal servers in the 'Transparent mode skiplist'.  Don't forget to check the 'Allow HTTP traffic...' box or to create a packet filter rule.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    BAlfson: >>Ölm's solutions should be the preferred way, but, if you can't get 
    BAlfson: >>people to configure their browsers to point at the proxy, you 
    BAlfson: >>probably can accomplish what you want by putting the teminal 
    BAlfson: >>servers in the 'Transparent mode skiplist'.  Don't forget to check 
    BAlfson: >>the 'Allow HTTP traffic...' box or to create a packet filter rule.

    Bob, I don´t agree, because what the questioner wants to have, is that all surf users have to authenticate to the proxy.
    Putting the terminal server on the transparent skiplist would complete bypass the proxy, thus the users would NOT to have to authenticate, and also no content/malware/URL filtering would occour. Putting a host on the transparent skiplist and click "allow http traffic" has the same effect like creating a packetfilter rule for this host for all web protocols - probably not what mkiehl wants to achieve...
  • 0
    OK, but my impression was that he wanted authentication in the terminal server(s).  Mal seh'n was er will...

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Many Thanx Guys!!!

     Our ultimate goal is to to track the individual users so with the info that has been presented it looks like AD w/ SSO is going to be the best option in a terminal server environment. This will work for this customer so that is what we will do. Again, many thanx!!!!


    Mike
    [:$]