Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 2689 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Active Directory SSO Web Proxy problem

aldahan
Hello,

Everything is working fine with 8.102, untill users cannot authenticate via SSO on Web proxy, the error in our browsers is "Authentication Failure", I check the ADServer test authentication on the Webamin, the user,AD groups is syncronizing well, I started to see this problem when some users we add in INTERNET USER AD group, and this AD group is allowed for internet in Web proxy Profile  with SSO, when i check the logs in the web proxy, the user is not existed, so it means the web proxy is not updating, but the user account is already existed in the astaro and it passed the test authentication. pls . help


Thanks in advance


This thread was automatically locked due to age.
Parents
  • 0
    Ratz, I agree that you can make things work that way, but I think people setting up a new configuration will find it easier and more robust to configure as detailed in the KnowledgeBase article Configure HTTP/S Proxy with AD-SSO.

    Your suggestion in 1) will work, but things at all my clients are configured as in DNS Best Practice, and that also works fine with AD-SSO.

    Although NTLM often works, the most-reliable method with Windows servers is kerberos.  This is the method recommended in the document linked to above. 

    Finally, unless your Astaros all are local, it can really complicate several other things if you use a hostname different from the FQDN that resolves to the public IP.  In general, our clients have a hostname of "mail.example.com", internal domain of "example.local" and after the Astaro has joined the domain, it shows up as "mail" in the AD.

    RVasquezgt, after you made the group changes, did you 'Flush the authentication cache' on the 'Global' tab of 'Users >> Authentication'?  If not, I think you have to wait 15 minutes for a re-authorization to occur.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    Ratz, I agree that you can make things work that way, but I think people setting up a new configuration will find it easier and more robust to configure as detailed in the KnowledgeBase article Configure HTTP/S Proxy with AD-SSO.

    Your suggestion in 1) will work, but things at all my clients are configured as in DNS Best Practice, and that also works fine with AD-SSO.

    Although NTLM often works, the most-reliable method with Windows servers is kerberos.  This is the method recommended in the document linked to above. 

    Finally, unless your Astaros all are local, it can really complicate several other things if you use a hostname different from the FQDN that resolves to the public IP.  In general, our clients have a hostname of "mail.example.com", internal domain of "example.local" and after the Astaro has joined the domain, it shows up as "mail" in the AD.

    RVasquezgt, after you made the group changes, did you 'Flush the authentication cache' on the 'Global' tab of 'Users >> Authentication'?  If not, I think you have to wait 15 minutes for a re-authorization to occur.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
No Data
Cookie Information Banner