Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 373 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Service/User specific Profiles and AD 2-way Authentication

zoidfarb
Hi all,

i am trying to implement the following (in a Testlab with a 7.505 Virtual Machine):

  •  HTTP(S) access only for AD group "http_access", authenticated via AD SSO with "fallback" to "manual" authentication
  • FTP access only for AD group "ftp_access", authenticated via AD SSO with "fallback" to "manual" authentication


In other words it should be processed like this:
> Client requests www.domain.tld 
> ASG checks via AD SSO, if user is a member of access group
>> if yes, page is displayed
>> if no, ASG checks via authentication prompt, if user is a member of access group
>>> if yes, page is displayed
>>> if no, authentication failed error

I have the AD part up and running, regular AD (SSO) Authentication is working fine. I just need a hint if and how i can create HTTP Profiles for the scenario described above.

Thanks in advance!
Best regards,
Z.


This thread was automatically locked due to age.
  • 0
    Hi, zoidfarb, and welcome to the User BB!

    I'm not sure this is possble, but, if it is, this is accomplished by creating a profile in AD-SSO mode and leaving the main HTTP/S setup in "Basic user authentication" mode.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Thanks Bob.
    I have tested the suggested setup:
    Having only one AD-SSO Profile i have to choose between two fallback options: deny all or permit all.
    - Deny all allows browsing for the specified AD group members while blocking anyone else permanently (no auth. pop-up window)
    - Allow all gives everyone permission to browse
    Any ideas?
  • 0
    I didn't think you could make your solution work, but, since I hadn't tried it, I couldn't be certain.

    I'm guessing that the problem you wanted to solve was giving different access rights to "non-approved" people...

    With the Astaro proxy in AD-SSO mode, the easiest way to do that is to add the users to your AD, giving them no network rights, and making them a member of a group like "Internet Only."  In the same Profile with everyone else, add a 'Filter Assignment' for the 'Internet Only" group.  Then if the individual doesn't belong to either group, the fallback is to deny.

    Is that where you wanted to go?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA