Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 1 subscriber
  • Views 5037 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

AD SSO / USER GROUP NETWORK and Web Proxy (http/s) Profiles

crusader
We are using two ASG425's in HA mode. 
Firmware: 8.102
Patternversion: 21617

I'm trying to implement some sort of access pattern based on a AD SSO authentification. 

Therefor I've configured at least four http/s profiles. 
Every profile has it's own filter assignment including a specific AD user group. 
As the filter assignments the profiles itself have been configured with the matching "User Group Network" object. 
But every time I try to get access with the correct user (SSO), it won't work. 
For some reason the http/s log shows me that the client is using the standard profile, eventhough it does recognize the correct user and the ip is recognized too at least it does show in src ip="...".
If I replace the "network group" definition within the profile to "internal network" and leave the user group as it was, it does work.
The problem here is, as soon as I use the wrong user, the client wont go to the next profile in list, it just stops there and uses the fallback configuration. 
Which means all the other profiles will be ignored except the firt profile in the list. 

What am I doing wrong?
Can some give me a hint. 
Does the "User Group Network" object work within the web security option?


This thread was automatically locked due to age.
  • 0
    Hi, Crusader, and welcome to the User BB.

    First, have you checked the Astaro KnowledgeBase?  I posted an article there last year that might help you: Configure HTTP-S Proxy with AD-SSO.

    I'm not sure what you mean by: 
    Does the "User Group Network" object work within the web security option?


    Does it work now?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    First, thank you for answering to my question. 

    No it's still not working.
    I've already seen your howto, but it didn't help very much most of the stuff you mention in there, I already had done. 

    And what I'm meaning with "User Group Networks"? 
    Simply the User Groups which will be created automatically after I create an AD user group within the users/group configuration.
    I've checked a few topics on the forum, which seemed to indicate that it could be that the "UGN's" are not supposed to work in http/s profiles. 

    I try to use those AD based network definitions within the profile configuration to just use the ip's which are fitting to the AD authenticated users, but it doesn't work at all. Every user get's blocked when I use those network definitions.
  • 0 in reply to crusader
    This is the link to the discussion which made me asking my question. 

    Firefox 4 Session Restore Not Working? Try This Fix

    Specifically this question: 
    Does the "User Group Network" object work within the web security option? 
  • 0
    Objects like "User (Network)" and "Group (Network)" cannot be used to specify 'Source networks' in HTTP/S Profiles.

    Can you show a picture of a profile and also a line from the log showing a blocked access?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    No one any more ideas?
    I'm really stuck here, without any solution I can't get anywhere with my astaro setup. 
    Is the question understandable?
    I try to explain it in another way if needed
  • 0 in reply to BAlfson
    Objects like "User (Network)" and "Group (Network)" cannot be used to specify 'Source networks' in HTTP/S Profiles.

    Can you show a picture of a profile and also a line from the log showing a blocked access?

    Cheers - Bob


    Sorry I didn't saw your post yesterday. 
    Thank you for your answer, which helps me a lot, but how could I do some graduated permission level within the proxy profiles, since the group (network) are not usable in http/s profiles? I tried it with one profile and serveral filter assignments now, could that be working?
    Is it possible to do some fallback "not" SSO authentification in cases where the user logged on is not able to be verified correctly?
  • 0
    Graduated permission levels are accomplished by creating different groups for your users in Active Directory.  Then, use those groups to create 'Backend Groups' in the Astaro.  In a given Proxy Profile, you can have several different 'Filter Assignments'  Each 'Filter Assignment' can be for a different 'Backend Group'.  Normally, if the user is not logged into your domain, you wouldn't want him to have much access.  In the case where he's going through the Proxy, he won't belong to any of the groups, so the Profile's 'Fallback action' will be appplied.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi!

    I have a similar question.
    We need to set up different profiles for different AD groups. We've done it through filter assignments and it works. However, we don't understand if it is possible to create "default" profile in the HTTP/S menu that could be overriden by profiles?
    Let me explain what we've done:

    1) We selected Active Directory SSO as proxy operation mode in HTTP/S menu.
    2) Then we added "Internet" group to the Allowed Users/Groups list
    3) We tested the setup from a laptop joined to our domain

    Problems:
    1) When we try to access the WEB under the username, that is not listed in Allowed Users/Groups list (and not belong to such groups), access is still being granted under default proxy profile. Why Astaro gives that user permission to access the internet? He is not allowed to do so!
    2) When AD group is being created in standard "Users" OU, prefetch function don't "see" this group. When we create it somewhere else and with hierarchy (like /MyOU/MyGroups/Internet group) it's OK

    System configuration: software appliance on Core2Duo, 2Gb RAM 
    Firmware: 8.102
  • 0
    1) Please show the line from the 'Content Filter (HTTP/S)' log where the user makes an access that you don't want.

    2) What do you mean by "somewhere else"?  Also, please show a picture of the edit of the group that doesn't work for pre-fetch.

    Cheers - Bob
    PS Have you worked through Configure HTTP-S Proxy with AD-SSO?
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Problem number 2 is solved for now. There was a misconfiguration in Active Directory.

    However, Problem 1 stays. We've redone our lab and I'm giving you logs and configuration.

    User Authentication log: 
    :03 Astaro201 httpd: 10.101.250.135 - - [13/Apr/2011:20:00:03 +0400] "POST /index.plx HTTP/1.1" 200 375

    2011:04:13-20:00:03 Astaro201 httpd: 10.101.250.135 - - [13/Apr/2011:20:00:03 +0400] "POST /index.plx HTTP/1.1" 200 803

    2011:04:13-20:00:04 Astaro201 httpd: 10.101.250.135 - - [13/Apr/2011:20:00:04 +0400] "POST /index.plx HTTP/1.1" 200 3077

    2011:04:13-20:00:04 Astaro201 httpd: 10.101.250.135 - - [13/Apr/2011:20:00:04 +0400] "GET /core/swf/open-flash-chart.swf HTTP/1.1" 200 220106

    2011:04:13-20:00:05 Astaro201 httpd: 10.101.250.135 - - [13/Apr/2011:20:00:05 +0400] "POST /index.plx HTTP/1.1" 200 374

    2011:04:13-20:00:05 Astaro201 httpd: 10.101.250.135 - - [13/Apr/2011:20:00:05 +0400] "POST /index.plx HTTP/1.1" 200 1304

    2011:04:13-20:00:05 Astaro201 httpd: 10.101.250.135 - - [13/Apr/2011:20:00:05 +0400] "POST /index.plx HTTP/1.1" 200 375

    2011:04:13-20:00:05 Astaro201 httpd: 10.101.250.135 - - [13/Apr/2011:20:00:05 +0400] "POST /index.plx HTTP/1.1" 200 10006

    2011:04:13-20:00:13 Astaro201 httpd: 10.101.250.135 - - 



    HTTP daemon log 
    [13/Apr/2011:20:00:13 +0400] "GET /logwin.html HTTP/1.1" 200 2344

    2011:04:13-20:00:16 Astaro201 httpd: 10.101.250.135 - - [13/Apr/2011:20:00:13 +0400] "POST /index.plx HTTP/1.1" 200 447

    2011:04:13-20:00:16 Astaro201 httpd: 10.101.250.135 - - [13/Apr/2011:20:00:16 +0400] "POST /index.plx HTTP/1.1" 200 565

    2011:04:13-20:00:16 Astaro201 httpd: 10.101.250.135 - - [13/Apr/2011:20:00:16 +0400] "POST /index.plx HTTP/1.1" 200 355

    2011:04:13-20:00:17 Astaro201 httpd: 10.101.250.135 - - [13/Apr/2011:20:00:17 +0400] "POST /index.plx HTTP/1.1" 200 354

    2011:04:13-20:00:17 Astaro201 httpd: 10.101.250.135 - - [13/Apr/2011:20:00:17 +0400] "POST /index.plx HTTP/1.1" 200 458

    2011:04:13-20:00:17 Astaro201 httpd: 10.101.250.135 - - [13/Apr/2011:20:00:17 +0400] "POST /index.plx HTTP/1.1" 200 355

    2011:04:13-20:00:17 Astaro201 httpd: 10.101.250.135 - - [13/Apr/2011:20:00:17 +0400] "POST /index.plx HTTP/1.1" 200 356

    2011:04:13-20:00:18 Astaro201 httpd: 10.101.250.135 - - [13/Apr/2011:20:00:18 +0400] "POST /index.plx HTTP/1.1" 200 356

    2011:04:13-20:00:18 Astaro201 httpd: 10.101.250.135 - - [13/Apr/2011:20:00:18 +0400] "POST /index.plx HTTP/1.1" 200 459

    2011:04:13-20:00:18 Astaro201 httpd: 10.101.250.135 - - [13/Apr/2011:20:00:18 +0400] "POST /index.plx HTTP/1.1" 200 354

    2011:04:13-20:00:18 Astaro201 httpd: 10.101.250.135 - - [13/Apr/2011:20:00:18 +0400] "POST /index.plx HTTP/1.1" 200 357

    2011:04:13-20:00:19 Astaro201 httpd: 10.101.250.135 - - [13/Apr/2011:20:00:19 +0400] "POST /index.plx HTTP/1.1" 200 356

    2011:04:13-20:00:19 Astaro201 httpd: 10.101.250.135 - - [13/Apr/2011:20:00:19 +0400] "POST /index.plx HTTP/1.1" 200 462

    2011:04:13-20:00:19 Astaro201 httpd: 10.101.250.135 - - [13/Apr/2011:20:00:19 +0400] "POST /index.plx HTTP/1.1" 200 357

    2011:04:13-20:00:19 Astaro201 httpd: 10.101.250.135 - - [13/Apr/2011:20:00:19 +0400] "POST /index.plx HTTP/1.1" 200 356

    2011:04:13-20:00:20 Astaro201 httpd: 10.101.250.135 - - [13/Apr/2011:20:00:20 +0400] "POST /index.plx HTTP/1.1" 200 452

    2011:04:13-20:00:20 Astaro201 httpd: 10.101.250.135 - - [13/Apr/2011:20:00:20 +0400] "POST /index.plx HTTP/1.1" 200 356

    2011:04:13-20:00:20 Astaro201 httpd: 10.101.250.135 - - [13/Apr/2011:20:00:20 +0400] "POST /index.plx HTTP/1.1" 200 357

    2011:04:13-20:00:21 Astaro201 httpd: 10.101.250.135 - - [13/Apr/2011:20:00:21 +0400] "POST /index.plx HTTP/1.1" 200 356

    2011:04:13-20:00:21 Astaro201 httpd: 10.101.250.135 - - [13/Apr/2011:20:00:21 +0400] "POST /index.plx HTTP/1.1" 200 460

    2011:04:13-20:00:21 Astaro201 httpd: 10.101.250.135 - - [13/Apr/2011:20:00:21 +0400] "POST /index.plx HTTP/1.1" 200 354

    2011:04:13-20:00:21 Astaro201 httpd: 10.101.250.135 - - [13/Apr/2011:20:00:21 +0400] "POST /index.plx HTTP/1.1" 200 356
    support_package.zip
Cookie Information Banner