Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 2707 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HTTP/S Proxy SSO - URL Exception not working proberly

OEG_ASTARO
Hi @ll,

i'm currently running an ASG v7.506 virutal appliance.
Webtraffic goes through Proxy, Users have SSO authentication over adirectory.
Logging, reporting and permission is working perfect.
I configured an exception, a "whitelist" for matching URLs.

This whitelist skips "content removal" and "url - filter". It is not skipping "authentication". (see attachment for details)

The proxy is only working with "SSO over adirectory"

If i have got a user who is not member of the adirectory group which is configured inside astaro for getting access to the proxy - the user still can browse the sites in the exception list (matching for urls).

For sites not configured in the exception list - a message appears that authentication is required.

Has got anyone an idea where my fault inside the configuration could be? 

Regards

OEG_ASTARO


This thread was automatically locked due to age.
  • 0
    Hi, and welcome to the User BB!

    What do you see in the 'Content Filter (HTTPS)' log when this occurs?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi Bob,

    thanks for welcoming me....

    If the exception is enabled (turned on green) for the url -filter it the log has got the following entry and the site is visible and reachable - although the user hasn't got the membership of the adirectory group which is configured to use the proxy.

    httpproxy[3882]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="X.X.X.X" user="user1" statuscode="301" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFBlockAction (Default content filter block action)" size="185" time="392 ms" request="0xa4137b88" url="meebo.com/.../html"

    If i disable the exception (turned on red) the log has got the following entries

    httpproxy[3882]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="X.X.X.X" user="user1" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFBlockAction (Default content filter block action)" size="2242" time="10217 ms" request="0xa4137b88" url="www.meebo.com/" exceptions="" error=""

    The site is not reachable and the Astaro Message is coming up that it is blocked by surfprotection. (This is how it should be with a user inside the adirectory group)

    Don't know why this occurs - i'm just wondering...

    Cheers

    OEG_ASTARO
  • 0
    If the exception is enabled (turned on green) for the url -filter it the log has got the following entry and the site is visible and reachable - although the user hasn't got the membership of the adirectory group which is configured to use the proxy.

    Since the user is identified by name, he is indeed allowed to use the proxy, so there must be a part of the configuration that wasn't clear to you, or...

    Maybe you've run afoul of a glitch in using AD-group membership to define an Astaro backend group.  Does section V of HTTP/S Proxy Access with AD-SSO  solve your issue? (Caution, the section "Configure User Authentication" should be eliminated as it has no effect on AD-SSO and can cause problems in larger organizations)

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi Bob,

    i had a look inside the configuration. Seems that the AD Group is defined well. The user is completely unknown by the astaro security gateway. the same happens if i create a new user inside the active directory.

    i'm not running http/s profiles - but i saw a filter action which is called "default content filter block action"

    could it be in relationship with this action?

    the foul of a glitch is not the problem - but thank you very much....about this issue i had some troubles in the past....but they are gone....

    Cheers
  • 0
    user="user1"

    That means the user is known to the Astaro, and the fact that the request is handled by the proxy means that the user is in a group allowed to use the proxy.  You can see the backend groups a user belongs to: edit the AD server definition and test with the user.  If none of the user groups listed is allowed to use the proxy, then something's not working correctly and you should get Astaro Support involved if this isn't a home-use license.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    the user isn't known by the asg.
    i opened a call at astaro support. hopefully they can handle it.

    but thank you very much Bob

    I will let you know the solution.

    Cheers

    OEG_ASTARO
  • 0 in reply to OEG_ASTARO
    Hii OEG_ASTARO,

    I am also facing exactly the same problem you are facing. have you got any solution for this problem from the Astaro Support yet?? If yes can you please tell me bout it. Hope hear from u soon.

    Regards,

    Anil Aliyan
  • 0
    OEG, as techuser pointed out to Acaliyan on another thread today, your problem is probably that you have configured the Default Filter Action to allow this traffic.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi @ll,

    my call is closed.

    I had a phone conference with the second level, and they told me if i don't have any http profiles, everything which i had configured on the "exception" tab is a global exception. (which means that it is equal if a user is allow to use the proxy or not - the exception is global!!!)

    These exceptions have got a higher priority than the configuration on the "global" tab.

    So if I want to use a whitelist - i have to put the urls into the box "always allow these urls/sites" on the "url-filter" tab. 
    Important - on a whitelist - means that the whole content on the url is allowed!!! This whitelist is also working with "wildcards" like *.
    Then it will work as a whitelist - otherwise it is an global exception.

    I'm really sad that i cann't decide which content or which filter on a url i want to use....but it is as it is.

    So i deleted my exceptions, and pimped my whitelist.

    Now it is working as i wanted to.....

    Thank you all for your support.

    Kind regards

    OEG_ASTARO
  • 0
    Finally this is problem is solved for me guys.  I just had the box upgraded from version 7 to version 8.  And then I noticed there is an and/or drop-down menu in the web security>exceptions tab.  Previously in version 7 there wasn't that option, so any exception was trreated globally.  But with version 8 that bug or missing implementation is fixed.  You must select "and" from the drop-down menu when you specify an exception URL for a network definition.  If you use or, then its treated as global if you use and it will do the trick and only allow a url for a specified user or network definition.  Best regards.