Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 20 replies
  • Subscribers 1 subscriber
  • Views 6485 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[7.505] AD-SSO and HTTP/s Profile setup help

Benderle
Hi all,
I need to create an HTTP/s Profile for two users on my network to access sites that are normally blocked via the HTTP/s Global settings and the URL Filtering i have in place.

 I would like to accomplish this using AD-SSO which i have configured sucessfully on my ASG 220[7.505],  is this possible?   I created a "Backend membership Group using my Special use AD Group for my two users, but the profile did not allow them to see the sites that i have specified I want to allow.  

help!![:S]


This thread was automatically locked due to age.
  • 0
    Benderle, there are some tricks including a well-know glitch in creating backend groups for AD.  Email me your address, and I'll send you my "Configuring the HTTP Proxy with AD in Astaro V7.5" cheat sheet.

    Also, I think the best way to search this site is to google and include site:astaro.org in the search so that it only searches astaro.org.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Tried the above suggestions and still get nothing...  heres a pic of my backend group I've created on my ASG

    As per the tips, I've tried removing the "CN=" from the Group line shown, but it has no effect


    my Live Log is giving me this for the user I'm testing this out on...


    2010:04:02-08:36:20 YWCAAstaro httpproxy[1868]: id="0060" severity="info" sys="SecureWeb" sub="http" name="web request blocked, forbidden category detected" action="block" method="GET" srcip="192.168.1.64" user="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="3462" time="0 ms" request="0x8b21fc8" url="facebook.com/" exceptions="" error="" reason="category" category="195" reputation="neutral" categoryname="Social Networking" 
    2010:04:02-08:36:20 YWCAAstaro httpproxy[1868]: id="0060" severity="info" sys="SecureWeb" sub="http" name="web request blocked, forbidden category detected" action="block" method="GET" srcip="192.168.1.64" user="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="3462" time="0 ms" request="0x89fa3d8" url="facebook.com/" exceptions="" error="" reason="category" category="195" reputation="neutral" categoryname="Social Networking"
  • 0
    The problem is a well-known glitch in the definition of backend groups with AD (maybe with eDir, too, but I haven't tried it).  Elsewhere, the entire Distinguished Name is used, but here, only Special Web Access Group should appear, no CN= and no other elements of the DN.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    so delete the DN=/OU=..etc.. parts as well? or is it just supposed to say Special Use Group and that's it?
  • 0
    That's it - only the actual group name, Special Web Access Group (not Special Use Group!), as you would see it if you were on your Domain Controller and you were using the AD Manager.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    ok..  heres a shot of the revised group.. as instructed



    and here's the live log from the test user that i am using for this.

    2010:04:02-09:31:50 YWCAAstaro httpproxy[1868]: id="0060" severity="info" sys="SecureWeb" sub="http" name="web request blocked, forbidden category detected" action="block" method="GET" srcip="192.168.1.64" user="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="3470" time="0 ms" request="0x8c03588" url="www.facebook.com/" exceptions="" error="" reason="category" category="195" reputation="neutral" categoryname="Social Networking" 
    2010:04:02-09:31:50 YWCAAstaro httpproxy[1868]: id="0060" severity="info" sys="SecureWeb" sub="http" name="web request blocked, forbidden category detected" action="block" method="GET" srcip="192.168.1.64" user="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="3470" time="0 ms" request="0x8c03588" url="www.facebook.com/" exceptions="" error="" reason="category" category="195" reputation="neutral" categoryname="Social Networking" 
  • 0
    Some things to confirm in 'Users >> Authentication':
    [LIST=1]
    • On the 'Global Settings' tab, is 'HTTP proxy' checked in 'Automatic user creation for facilities'?  Also for 'Create users automatically' above it?
    • On the 'Single Sign-On' tab, does 'Status:' show "joined to {your domain}"?
    • On the 'Servers' tab, what happens when you 'Authenticate example user' with the same username we should have seen in the above lines?
    [/LIST]
    Cheers - Bob
    PS Intead of "Special Web Access Group,OU=Special Use Group,DC=domain,DC=org" in that definition, it should be just "Special Web Access Group" without any of the rest of the Distinguished Name.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    On the 'Global Settings' tab, is 'HTTP proxy' checked in 'Automatic user creation for facilities'? Also for 'Create users automatically' above it? Yes

    On the 'Single Sign-On' tab, does 'Status:' show "joined to {your domain}"? Yes

    On the 'Servers' tab, what happens when you 'Authenticate example user' with the same username we should have seen in the above lines? 


    it is intermittently showing the proper security group, and other times what's shown above
  • 0
    Intermittant...  hmmm... found it googling: site:astaro.org ntlm kerberos

    According to BruceKConvergent: "If you don't use a FQDN to connect to the proxy, NTLM is what is used to authenticate [...]."  So, in the browser's proxy configuration, try using an FQDN instead of the IP of "Internal (Address)".

    Does that do it?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    tried that too.. i have it configured with a FQDN of "myastaro.mydomain.org" port 8080 in the IE settings