Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 20 replies
  • Subscribers 1 subscriber
  • Views 6487 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[7.505] AD-SSO and HTTP/s Profile setup help

Benderle
Hi all,
I need to create an HTTP/s Profile for two users on my network to access sites that are normally blocked via the HTTP/s Global settings and the URL Filtering i have in place.

 I would like to accomplish this using AD-SSO which i have configured sucessfully on my ASG 220[7.505],  is this possible?   I created a "Backend membership Group using my Special use AD Group for my two users, but the profile did not allow them to see the sites that i have specified I want to allow.  

help!![:S]


This thread was automatically locked due to age.
  • 0
    What's in the User Authentication log at the time you got a correct answer from the test?  And at the time you got an incorrect answer without the group membership?

    Cheers - Bob
    PS If we don't get this on one of the next two steps, it'll be time to submit a ticket via MyAstaro...
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    on a sucessful test i get the following Window:



    and this is in the auth live log:

    2010:04:02-11:03:22 YWCAAstaro aua[6408]: id="3006" severity="info" sys="System" sub="auth" name="Spawned child for authentication test" 
    2010:04:02-11:03:22 YWCAAstaro aua[6408]: id="3006" severity="info" sys="System" sub="auth" name="Authentication test request: m:adirectory, f:none, u:test, ip:" 
    2010:04:02-11:03:22 YWCAAstaro aua[6408]: id="3006" severity="info" sys="System" sub="auth" name="Testing method adirectory" 
    2010:04:02-11:03:22 YWCAAstaro aua[6408]: id="3006" severity="info" sys="System" sub="auth" name="Trying 192.168.1.6 (adirectory)" 
    2010:04:02-11:03:23 YWCAAstaro aua[6408]: id="3006" severity="info" sys="System" sub="auth" name="Authentication test successfull" 





    When removing the "CN=" from the Group name in the backend membership setup.... and running the test I get this:


    and then this in the live auth log:
    2010:04:02-11:12:27 YWCAAstaro aua[6660]: id="3006" severity="info" sys="System" sub="auth" name="Spawned child for authentication test" 
    2010:04:02-11:12:27 YWCAAstaro aua[6660]: id="3006" severity="info" sys="System" sub="auth" name="Authentication test request: m:adirectory, f:none, u:test, ip:" 
    2010:04:02-11:12:27 YWCAAstaro aua[6660]: id="3006" severity="info" sys="System" sub="auth" name="Testing method adirectory" 
    2010:04:02-11:12:27 YWCAAstaro aua[6660]: id="3006" severity="info" sys="System" sub="auth" name="Trying 192.168.1.6 (adirectory)" 
    2010:04:02-11:12:27 YWCAAstaro aua[6660]: id="3006" severity="info" sys="System" sub="auth" name="Authentication test successfull" 
  • 0 in reply to Benderle
    GOT IT!!!!!

     I was attempting to use the "Special Use Group" network in the profile, instead i switched it to my "LAN network" and it's working perfectly.. with the log showing the authenticated user Via AD-SSO.. and the proper filtering actions...


    Thanks for the Help Bob!
  • 0
    Great! Once the pieces fall into place, you realize how easy and elegant it is.

    My pleasure! - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I'm sorry, I still don't get it... I have the same issue, in the HTTP live log I see;

    2010:04:05-21:20:52 astaro httpproxy[6189]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="10.0.2.113" user="" statuscode="200"

    user="" ... this can't be right, can it? As long as I see user="" I can add any AD group, but it still isn't going to work...

    Astaro is connected to AD, the group uses the full FQDN name, but noting changes when I use only the group name without any CN's and DC's...
    When I test a user account against AD, Astaro returnes the correct Internet group.

    Can you please help me on this? What am I doing wrong?

    Thank you very much.
    Regards,
    Erwin.
  • 0
    Astaro is connected to AD, the group uses the full FQDN name

    I'm guessing you mean the full Distinguished Name (DN), and that reading posts #3 and #4 above will clarify the solution to your problem.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi Bob,

    Yes, I mean full Distinguished Name, but also when I use only the group name, without DN it doesn't work.
    This doesn't work; "CN=Internet_Gebruikers,OU=Security Groups,OU=MyBusiness,DC=...business...,DC=local"
    And only "Internet_Gebruikers" doesn't work either.
    I only see user="" in the logging.

    And what I also don't understand... I have another Astaro machine, also configured with full DN and with that one I do see user ID's in the HTTP live log. And it's all working without problems there... That one is only installed in another network/domain.

    And if I look at "Web Security Statistics - Today" --> "Top users by time spent" I see userID's at the working ASG and only IP addresses at the ASG where it's not working...

    Thanks for your help.
    Regards,
    Erwin.
  • 0
    Erwin, please show pictures of the backend group definition and the 'HTTP/S Profile' you created.  Also show the complete log line above.

    Cheers - Bob
    PS We would need to look at loglines and pictures for the other ASG, but I guess the traffic is not going through the Filter Assignment in the way you want it to.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi Bob,

    I found it, I overlooked the "Operation mode" setting in the profile... The setting still was Standard instead of Active Directory SSO... 
    My mistake, I actually set it in HTTP/S instead of the profile.

    Thanks again for the help!
    Regards,
    Erwin.

    P.S. this "issue" will not trick me a second time... ;-)
  • 0
    I just happened by this again.  Benderle, please look up the definitions of Distinguished Name and Common Name, then reread my suggestion above on what goes in the group name.  I just noticed that you still got it wrong the last time.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA