Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 1 subscriber
  • Views 9635 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Kerberos Authentication

anc2010
Hi folks!

We have a bothersome problem with Kerberos Authentication to the ASG HTTP/S Proxy in Active Directory SSO Mode. All clients are always falling back to NTLM but are automatically authenticated. We can prove that NTLM is still used only in network sniffer and because there's no Kerberos ticket in Windows client cache. Our ASG works with Firmware v 8.003 and is joined to a AD domain with Windows Server 2003 R2 domain controllers (joining was no problem). We use only Windows 7 clients with IE 8 at the moment to test that Proxy Authentication. All clients get the FQDN of ASG as proxy address via wpad script which resides on ASG itself. For testing purposes we have also disabled the "Automatically detect..." setting and manually entered the FQDN in IE proxy connection but unfortunately that had not the desired effect.
All's working fine so far but the failing Kerberos Authentication get on my nerves, you know?
I have tried to get Kerberos ticket via kinit from ASG shell which works like a charm and the key table is looking well. I have followed the troubleshooting hints from this link AD Troubleshooting Guide but that could not solve the problem or rather give me a hint what's the cause for above mentioned.
I have opened a ticket for this case but Astaro says that this is a client problem and can't be affected by the Proxy.

Do you have any suggestion for me what I can try else? Perhaps there is some Windows or IE setting which prevents Kerberos authentication to proxy servers?

Many thanks in advance!


This thread was automatically locked due to age.
Parents
  • 0
    I've had problems with authentication since the upgrade to v.8 as well. Windows 2003R2 Servers and XP Pro/Vista clients. I finally gave up on trying to figure it out and I'm now just skipping authentication in proxy/transparent mode and have loosened the default filter. Nothing in logs, authentication, packet, webfilter, client logs ... nothing!

    Everything was working perfect in v.7 with users in their proper groups for specific web filtering. 1) Yes, re-joining the domain, wiping the very existence of the firewall from the domain, does not help. 2) Using fqdn or ip configurations via login script to registry writes does not help. 3) I've even hacked the hosts file on the machines and does not help. 4) All client can see/ping the firewall by both IP and fqdn. 5) All logs on all DC servers authentication and security are green, no errors/warnings.

    I only upgraded because of the new license model, now it feels we are getting less out of the money we spend rather than more! Your guess is as good as mine, I quit trying.

    And don't get me started on the poor options in customizing our blocked informational pages, this issue still has not been revised and seems to not be going to in v8.100. Seems Astaro is gearing more to the home users now, I hope these free licenses pay many of your bills.
Reply
  • 0
    I've had problems with authentication since the upgrade to v.8 as well. Windows 2003R2 Servers and XP Pro/Vista clients. I finally gave up on trying to figure it out and I'm now just skipping authentication in proxy/transparent mode and have loosened the default filter. Nothing in logs, authentication, packet, webfilter, client logs ... nothing!

    Everything was working perfect in v.7 with users in their proper groups for specific web filtering. 1) Yes, re-joining the domain, wiping the very existence of the firewall from the domain, does not help. 2) Using fqdn or ip configurations via login script to registry writes does not help. 3) I've even hacked the hosts file on the machines and does not help. 4) All client can see/ping the firewall by both IP and fqdn. 5) All logs on all DC servers authentication and security are green, no errors/warnings.

    I only upgraded because of the new license model, now it feels we are getting less out of the money we spend rather than more! Your guess is as good as mine, I quit trying.

    And don't get me started on the poor options in customizing our blocked informational pages, this issue still has not been revised and seems to not be going to in v8.100. Seems Astaro is gearing more to the home users now, I hope these free licenses pay many of your bills.
Children
No Data
Cookie Information Banner