Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 2786 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Web Security Authentication

system-partner
Hi everybody,

I am just trying various features on the Web Security module.
However, I got stuck with an authentication issue. What I would like to do:

Employees should access the web with AD SSO Authentication.
If this authentication fails (i.e. for Guests), there should be a fallback to transparent mode with a very restricted policy (i.e. Only Windows Updates)

On Non-Domain Clients I get a "Authentication Failed" error message.
2010:08:27-12:40:24 astaro httpproxy[22954]: [0xb1a50b00] adir_auth_process_negotiate (auth_adir.c:311) gss_accept_sec_context: An unsupported mechanism was requestedNo error


My Config:
A Proxy Profile with the LAN-Network, a Filter on AD-Users and a Fallback Action for Default Content Filter.
On the Web Security\HTTP(S)\Global Page I configured Transparent Mode

Is my configuration wrong or is it simply not supported?

Thx for reply,
Chris


This thread was automatically locked due to age.
  • 0
    Chris, what version are you on?  We have 7.507 on our production Astaro, and this works fine.

    The one issue you might have would be if your user's browser is pointed at the Astaro Proxy on port 8080.  I think then that the traffic would be selected by the Proxy Profile you created, the user would fail to qualify for any of the selected Filter Assignments and the traffic would be handled by the Profile's Fallback Action.

    That said, it seems like it would be more secure to force guests onto a separate network.  If someone isn't trusted enough to have an account in AD, do you really want them on your internal network?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hey Bob,
    Thanks for reply. I am also on 7.507. The Web Proxy is configured with the Auto Configuration Feature. The Script is as simple as it can be:
    function FindProxyForURL(url, host) {
       return "PROXY astaro.domain.local:8080; DIRECT";
    }


    The Usage of the PAC File is configured in ie and ff for the path http://astaro.domain.local:8080/wpad.dat

    It seems that the fallback action is not initiated when the authentication fails.

    I see your point that seperate networks would be more secure, but this is not always possible.

    regards, chris
  • 0
    It seems that the fallback action is not initiated when the authentication fails.

    That would seem to me to be a design flaw in the Astaro.  Can you submit a ticket to Astaro Support?

    If you have guests who aren't logged in to AD, their browser won't grab the wpad.dat, so their laptops should be handled the way you want.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Problem solved! [[:)]]

    I've got the important key hint from a member of the astaro team. Thank you Mr. D.! [[:)]]
    The solution is that I need an additional profile with transparent authentication and default filtering for filter assignment and fallback action.

    I believe the overview image is wrong therefore. The third box implies that the default configuration is called when all the profiles fail.
    Another error in the overview image is that it is not possible to get to the fallback action without any filter assignment (2nd box). When I deactivate all filter assignments on a profile, the whole profile gets red (deactivated).

    @Bob: With my current config even the guests pull the wpad.dat through the DHCP Config. The only issues could be if the user has deactivated the checkbox in the ie connection settings. 

    Cheers