Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 2788 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Web Security Authentication

system-partner
Hi everybody,

I am just trying various features on the Web Security module.
However, I got stuck with an authentication issue. What I would like to do:

Employees should access the web with AD SSO Authentication.
If this authentication fails (i.e. for Guests), there should be a fallback to transparent mode with a very restricted policy (i.e. Only Windows Updates)

On Non-Domain Clients I get a "Authentication Failed" error message.
2010:08:27-12:40:24 astaro httpproxy[22954]: [0xb1a50b00] adir_auth_process_negotiate (auth_adir.c:311) gss_accept_sec_context: An unsupported mechanism was requestedNo error


My Config:
A Proxy Profile with the LAN-Network, a Filter on AD-Users and a Fallback Action for Default Content Filter.
On the Web Security\HTTP(S)\Global Page I configured Transparent Mode

Is my configuration wrong or is it simply not supported?

Thx for reply,
Chris


This thread was automatically locked due to age.
Parents
  • 0
    Chris, what version are you on?  We have 7.507 on our production Astaro, and this works fine.

    The one issue you might have would be if your user's browser is pointed at the Astaro Proxy on port 8080.  I think then that the traffic would be selected by the Proxy Profile you created, the user would fail to qualify for any of the selected Filter Assignments and the traffic would be handled by the Profile's Fallback Action.

    That said, it seems like it would be more secure to force guests onto a separate network.  If someone isn't trusted enough to have an account in AD, do you really want them on your internal network?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    Chris, what version are you on?  We have 7.507 on our production Astaro, and this works fine.

    The one issue you might have would be if your user's browser is pointed at the Astaro Proxy on port 8080.  I think then that the traffic would be selected by the Proxy Profile you created, the user would fail to qualify for any of the selected Filter Assignments and the traffic would be handled by the Profile's Fallback Action.

    That said, it seems like it would be more secure to force guests onto a separate network.  If someone isn't trusted enough to have an account in AD, do you really want them on your internal network?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
No Data