Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 4695 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Web Filtering Profiles - AD groups not picked up

StephenWeber
I'm running an Astaro 120 with Full Guard on 8.201.

All of the Workstations have the Astaro Authentication Agent installed.

I created 4 Groups and setup the Back-end Active Directory and limited it to each matching group in AD.

Under Web Filtering Profiles I setup my Actions and Filters.  In the Filters I added the Groups to each filter.

Then under Proxy Profile I Added the Network and the Filters.  Selected Transparent and Agent Authentication.

When testing a user the Astaro sees the groups they belong too.  However the Web Log shows that it isn't matching the Users to the correct filter and fails them over to the Default Fail-over Filter action.

If I manually add the users or create static groups it works fine.  It just doesn't work with the Back-end Active Directory.

Any ideas????


This thread was automatically locked due to age.
  • 0
    Can you give screenshots of your profiles and filter assignments along with what profile you expect to be applied?
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    You are confusing two different authentication methods.  AAA and AD-SSO are unrelated.

    To use the AD-authenticated backend groups, you must have the Profile in AD-SSO mode, and the users' browsers must be configured to use the Astaro Proxy on port 8080 (easily done with a GPO).

    The AAA actually captures the IP of the user and identifies the user to the Astaro.  You then can use the "name (User Network)" objects in packet filter rules and, for example, in "Network groups" for HTTP/S Proxy Profiles.
    Correction: In Using AAA to Allow a Single User to Download .exe Files, I correct my post about how to use AAA with Profiles.  The username or user group must be used in the Filter Assignment, and 'Allowed networks' in the profile cannot use "(User Network)" objects.  This appears to me to conflict implicitly with the documentation and explicitly with the announcement of the Agent.

    Cheers - Bob
    PS Try: HTTP/S Proxy Access with AD-SSO (Caution, the section "Configure User Authentication" should be eliminated as it has no effect on AD-SSO and can cause problems in larger organizations)
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    @BAlfson:  FYI, the User Network Object, when resolved using the Authentication Agent, will work in some areas, but won't work in others.  I know that it doesn't work when used in Application Control, not certain about proxy profiles though.  Also be aware that the object will show as unresolved in WebAdmin when using the Agent.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    Scott, I haven't played with it yet, so I'll take your word for it, but...

    "Unresolved" - really?  Then how can it be used in Packet Filter rules?

    In Proxy Profiles, I didn't mean to use the "User Network" object in the Filter Assignment, but in 'Allowed networks' in the 'Proxy Profile'.  Again, if AAA isn't resolving the "User Network" object, then that wouldn't work, either...

    Correction: See post #3 above. Using AAA, the "User Network" object doesn't work as a selector in 'Allowed networks' in a Profile.  The announcement and the documentation indicate, specifically, that this was intended to work, but, as of 10-Mar-2012, it still does not.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I really don't want to use IE Proxy setting via Group Policy.  Not all users use Internet Explorer and I don't want the hassle of manually configuring the Proxy Settings.

    There has to be another way another using Proxy.

    There should be no reason why Transparent Filtering shouldn't be able to Filter by User and Group with the Authentication Agent.
  • 0
    "Unresolved" - really? Then how can it be used in Packet Filter rules?
    Yep.  Apparently the IP information is stored in a place or way that it can't be detected by WebAdmin, which also limited where it can be used.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    That just doesn't make sense since the Authentication Agent User is seen in the Web Security.

    Well back to the drawing boards.  I'll just have to do everything manually in the Web Admin instead of Active Directory.
  • 0
    No, you just had the two things confused.  Follow the link in my PS above in Post #3 - AD-SSO works great!

    The AAA-authenticated username is supposed to work in Web Security.  AAA is an alternative to AD-SSO; AAA does not work with AD-SSO.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I don't have AD-SSO configured, because I don't want to use a Proxy Setting in IE.  I've deployed the Astaro Authentication Agent and configured an Authentication Server.

    Web Security is able to see the users, but wasn't able to associate them with the Group that was setup with the Active Directory Back-end Group.  I've changed it to a Static Group, added in the users and now have it working.

    I hope that AD Groups will be support by Web Security using Transparent w/ Agent Authentication in the future.  Of course it would be nice if the Agent simply ran as a service on the workstation and passed the Authenticated User and IP along to the Astaro.
  • 0
    The AAA is new, so I bet it will change quite a bit in the future.
    I hope that AD Groups will be support by Web Security using Transparent w/ Agent Authentication in the future. Of course it would be nice if the Agent simply ran as a service on the workstation and passed the Authenticated User and IP along to the Astaro.

    You might want to vote for one of these feature requests: 
    Transparent Proxy with SSO
    Expand the Astaro Authentication Agent
    Windows Single-Signon for Astaro Authentication Agent

    Users can now authenticate using a lightweight program that is used for identification to control access or
    assign permissions such as Web Security profiles. The agent provides a definitive per-user identification which
    is great for removing IP addresses from various reports and security configuration.
     The Web Filter in ASG now has a new mode for “Agent” which makes possible user-based controls in businesses that perhaps do not use a central authentication (like Active Directory or E-Directory) or static IP to MAC (workstation) mapping
     By integrating with Web Filtering via the Agent mode, administrators can also make very specific peruser filtering profiles, providing true per-user configuration
     Once configured by the admin (Authentication & UsersClient Authentication), users can self-deploy the agent via the Astaro UserPortal, or admins can download and distribute it from WebAdmin themselves
     When the agent is active, the users “object” in ASG will be continually updated with their current IP address(es). Just like a connected VPN user, this object can be used in security configuration like the Packet Filter or NAT for specific per-user controls, or permissions in various “allowed networks”
     Reporting will also reflect the username of the authenticated party, making an IP-to-Name association automatically in the output

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Cookie Information Banner