NTLM authentication

Does it help if you clear the authentication cache?

For AD, I always setup Astaro with internal AD DNS servers as forwarders, then on the internal DNS servers, I setup the external DNS as forwarders (for google it would be 8.8.8.8 and 8.8.4.4).

Scott
thanks for reply.
I change the configs.
Astaro DHCP offer DNS the AD IP Address.
My AD is configured with forwarders 8.8.8.8 and 8.8.4.4 (Google dns)
Workstations get theses informations
- IP Address (my range /16)
- DNS: AD IP Address
- Router/gateway: Astaro IP Address
- WINS Server: AD IP Address.

I cleaned the cache authentication (Users -> Authentication -> Flush authentication cache).

But, astaro requests authentication (username and password).

Another tip?
Thank you very much!

What Astaro prompts for authentication, what do you see in the Content Filter log?  If you see "winbindd request failed ()", then try giving the Astaro a reboot to reinitialize the authentication service.

Hello Scott, thank you again for reply.

I do not know what happened. Automatic Authentication stopped working.
and now, all users trying to access the Internet, the Astaro requires login and password.
result of the logs when I try to access the internet.

2011:06:22-13:49:21 astaro httpproxy[22922]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.0.120" dstip="" user="" statuscode="302" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction=" ()" size="4549" time="0 ms" request="0xa9e8900" url="google.com/" exceptions="" error=""

Scott and I do DNS a bit differently, but his way is a great choice, and I don't think that's the issue.

In your case, transparent with authentication, I don't know if there's a problem with NTLM.  If you were using AD-SSO mode, then there occasionally are problems with NTLM.  To force the use of kerberos, instead of using the numeric IP assigned to 'Internal (Address)' as the address of the Proxy, use an FQDN that resolves internally to that IP.  I know that you can propagate that via GPO to IE8; I think I remember others saying that also worked for Firefox.  Again, that's a presciption for AD-SSO.

Is there anything in the 'User Authentication' log that gives a clue?

Cheers - Bob

Hello BAlfson,
thank you for reply!

My astaro is setup to connect with AD and it works fine. But before, users connect automaticly. Now, users need user login and password. Automatic authentication dont work more. I dont know whats happened. I dont use proxy on browsers because i use transparent mode. If user dont connected on my domain, astaro request username and password, else, users connected don my domain, internet works fine!

More informations
on users authentication log

2011:06:22-14:55:56 astaro aua[3607]: id="3004" severity="info" sys="System" sub="auth" name="Authentication successful" srcip="192.168.0.100" user="user1" caller="http" engine="adirectory"
2011:06:22-14:56:42 astaro aua[4957]: id="3004" severity="info" sys="System" sub="auth" name="Authentication successful" srcip="192.168.0.109" user="user2" caller="http" engine="Cached"

engine of user1 is adirectory and user2 is cached.
i dont understand this.
Any ideia?

more informations.
im rebooted my machine and loggin on windows again.
Try access google.com and transparent authentication works.
see log
Astaro get my username and all works fine

2011:06:22-15:25:49 astaro httpproxy[22922]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.0.120" dstip="74.125.115.106" user="osns" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="392" time="55 ms" request="0xef1803e8" url="www.google.com/.../html"
2011:06:22-15:25:51 astaro httpproxy[22922]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.0.120" dstip="74.125.115.106" user="osns" statuscode="204" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" time="61 ms" request="0xef1803e8" url="www.google.com/csi
2011:06:22-15:25:51 astaro httpproxy[22922]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.0.120" dstip="74.125.115.106" user="osns" statuscode="204" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" time="93 ms" request="0xeddd5b08" url="www.google.com/gen_204

But, im waiting for few minutes and.
Username and password is request again. [:(]


2011:06:22-15:33:56 astaro httpproxy[22922]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.0.120" dstip="" user="" statuscode="302" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction=" ()" size="4557" time="0 ms" request="0xeddd7128" url="www.google.com/" exceptions="" error=""

Let's go back to your first post for a minute.  Before last Friday, your users were prompted for login information when they started a new browser session, but now they are prompted every time they visit any web site.  Is this correct?  Were you using Transparent with Auth prior to last Friday, or did you switch to that mode then?

Using transparent mode with authentication, the user SHOULD be prompted.  From the Admin Guide:

Transparent With Authentication: Use this mode to force users to authenticate while the proxy is working transparently. When users open a website for the first time, they will be presented an authentication user-portal-like webpage where they have to fill in username and password. This mode allows for username-based tracking, reporting, and surfing without client-side browser configuration. Moreover, you can enable a disclaimer that is additionally displayed on that dialog window and needs to be accepted by users to be able to go on. For more information on the disclaimer, please refer to chapter Management >> Customization >> HTTP/S Proxy. You can select or add users and/or groups to the Users/Groups text box who are to be allowed to use the proxy.

For the user to not be prompted at all, you would either need to use regular Transparent mode or SSO.  When 8.200 is released (probably next month), there will be another option that will require a software agent to be installed on each client system.  For more information on each of the modes and their limitations, when on the global tab of the http proxy in WebAdmin, click on the  blue button with the question mark inside at the upper right section of the page.

If users are being prompted every few minutes, that would lead me to believe that there may be a problem with the authentication cache database.  If this is the problem, then you should probably contact your reseller to start a support case with Astaro, or Astaro support directly if you have Premium support.