Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 1414 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Problems with Active Directory SSO

SicurezzaBDB
Hello, we have an Astaro V7.502 and we use it for proxy and url filtering. We are using the proxy in basic user autentication mode with an Active Directory Backend Membership group pointing to our Active Directory (only the users of a specified A.D. Group can surf the internet) and all works fine. 

Then we tried to add the Active Directory SSO but we had some problems: with A.D.SSO active all users can navigate, not only the ones in the specified group. We have this problem only with the default proxy profile, instead all other HTTP/S Profiles work correctly even with A.D.SSO active.

Have you ever had a similar problem?
Thank you for your support!


This thread was automatically locked due to age.
Parents
  • 0
    Hello, we have an Astaro V7.502 and we use it for proxy and url filtering. We are using the proxy in basic user autentication mode with an Active Directory Backend Membership group pointing to our Active Directory (only the users of a specified A.D. Group can surf the internet) and all works fine. 

    So, in this mode, users were required to login manually to the Astaro Proxy.  You wanted to eliminate the extra step of logging in to the proxy, so you configured AD-SSO.
    Then we tried to add the Active Directory SSO but we had some problems: with A.D.SSO active all users can navigate, not only the ones in the specified group. We have this problem only with the default proxy profile, instead all other HTTP/S Profiles work correctly even with A.D.SSO active.

    Now, all of the people who should be allowed to surf are handled by the correct Profile, but the other users are allowed to surf via the default.  Can you show a line from the 'Content Filter (HTTP)' log where a non-allowed user surfed?  Is the user in the line you show also a member of a group allowed to use the default proxy?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    Hello, we have an Astaro V7.502 and we use it for proxy and url filtering. We are using the proxy in basic user autentication mode with an Active Directory Backend Membership group pointing to our Active Directory (only the users of a specified A.D. Group can surf the internet) and all works fine. 

    So, in this mode, users were required to login manually to the Astaro Proxy.  You wanted to eliminate the extra step of logging in to the proxy, so you configured AD-SSO.
    Then we tried to add the Active Directory SSO but we had some problems: with A.D.SSO active all users can navigate, not only the ones in the specified group. We have this problem only with the default proxy profile, instead all other HTTP/S Profiles work correctly even with A.D.SSO active.

    Now, all of the people who should be allowed to surf are handled by the correct Profile, but the other users are allowed to surf via the default.  Can you show a line from the 'Content Filter (HTTP)' log where a non-allowed user surfed?  Is the user in the line you show also a member of a group allowed to use the default proxy?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    Here's a line from HTTP log. The user "AdminServer" is not in any A.D. Group allowed to surf.

    2010:03:23-13:43:55 bdasg-1 httpproxy[4808]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="10.53.250.189" user="AdminServer" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="11990" time="83 ms" request="0xb28bd158" url="www.google.it/.../html"

    Regards.
  • 0 in reply to SicurezzaBDB
    I think you interpreted that line exactly correctly, and if this isn't a malfunction, it must be one of those situations where we "know" what's there so we see something different from what's there...

    There's no question the Proxy checked to see if AdminServer qualified for any profile and then applied the settings in 'Web Security >> HTTP/S'.  Can we see a pic of the 'Global' tab from there, and a pic of 'Users >> Groups' showing the definition of any groups listed in 'Users/Groups'?

    Also, go to the 'Servers' tab in 'Users >> Authentication', edit the AD server and test AdminServer.  Show a picture of the results of that test.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Here 's the pics you asked.

    GLOBAL.jpg

    GROUPS.jpg

    AUTH.jpg

    Thank you.