Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 1501 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

AD-SSO not working in 8.202

tog
we are also having problems with http proxy ... some users using IE ..their proxy messes up and even after they restart it`s the same.. IE doesnt send to Astaro the username and password from AD and these users will get the default failback filter instead of their normal filter 

Any idea ?


This thread was automatically locked due to age.
  • 0
    I've not been able to figure out a workaround myself.  If you are a paid business license user, your best bet is to open up a support ticket to report it.  Once they are aware of the issue, the more business users that report it will increase the fix priority.
  • 0 in reply to Scott_Klassen
    thanks Scott. We open a ticket with them. They said they have to apply I don't know what script ... 

    Hopefully they fix this asap. This is not acceptable for enterprises. Now I understand why people pay more and go with Cisco ASAs.  

    They even mentioned in their 8 202 release notes that all the fixes were to the HTTP Proxy. My management is pushing me hard on this like CEO CFO CIO.. are killing me... and other managers. 

    I have 2 offices now with Astaro's and Premium support we have another office to integrate but we are thinking twice before we buy Astaro again.
  • 0
    Now I understand why people pay more and go with Cisco ASAs.
    Higher price for less features.  What's not to love?  ;P  Seriously though, I used to be a Cisco guy.  An ASA has a few features that Astaro doesn't yet have (clientless vpn and easy updates for the SSL VPN Client on non-admin user systems come to mind), but on the other hand Astaro has many features not offered by an ASA.  At one client they were using an Astaro as a transparent filtering device behind an ASA.  I couldn't wait to retire the Cisco and use the Astaro as it was intended.  [:)]
  • 0 in reply to Scott_Klassen
    Apparently Astaro support is saying I need a PAC file if I want to make it work with IE and multiple browsers with AD authentication. 

    Even tho it`s set to transparent mode I still need a PAC file for the AD authentication to work. I manually changed my Firefox and Chrome to point to astaro:8080 and it does work properly with AD authentication and multiple filters based on security groups. 

    They are about to call me now to modify my PAC file to a simpler solution.

    I`ll let you know where I get with this.
  • 0
    The only authentication methods available in transparent mode are browser and agent.  AD auth won't work in transparent mode (port 80), due to certain conventions in the way that browsers work.  I think that you mean to say that the proxy is running in Standard mode (port 8080) with AD authentication.

    Yes, you can run around and manually set the proxy for other browsers on each machine.  What a PAC file will do is to allow the proxy to be set automatically without needing to visit each system.  Proxy auto-config - Wikipedia, the free encyclopedia.  It will make your life easier.  

    IE has supported deploying proxy settings through group policy for years.  Other browsers now have the option of using GP for deploying settings as well.  Google has a GP template for chrome, http://www.chromium.org/administrators/policy-templates.  There's also one for Firefox, but you have to use a special build of FF for it to work, http://www.frontmotion.com/FMFirefoxCE/features.htm.

    I just went back and re-read your original post here.  I completely missed that you'd hijacked the thread with a completely different and unrelated issue from the proxy restarting.
  • 0
    Scott, I moved these posts to this new thread.

    Cheers - Bob
  • 0 in reply to BAlfson
    thanks a lot scott. This might explain so many issues with our Web Proxy Filter not being stable and etc. 

    We have our astaro set to transparent mode and IE works with AD authentication but sometimes it breaks that and IE doesnt send anymore the AD info to astaro. There was also a complicate PAC file set with DHCP option from Astaro but I guess it`s not right. 

    So if we use AD we should have our proxy set to Standard 8080 using a PAC file for other browsers to pic the proxy server ? That`s the right way of doing it ?

    If we use Transparent mode, Astaro can`t use AD ? nor the PAC ?
  • 0
    Yes, in standard mode with AD auth you would want the proxy set in each browser to port 8080, pointing to the internal(LAN) interface IP Address of the Astaro.

    The reason why AD auth won't work in transparent mode is that browsers are hard coded that if a proxy is not set and they are working over regular port 80, the NTLM authentication information is never added to requests from the client machine.  Astaro in transparent mode expects this to be the behavior, so wouldn't even listen for port 8080 traffic.  There wouldn't be any point to setting the proxy by AD or PAC in this case.
  • 0 in reply to Scott_Klassen
    thanks a lot Scott. I set it to Standard mode and we are using both DHCP from astaro to push the PAC and DNS A record for wpad and it looks like all browsers work properly now. 

    Astaro Support also helped on this.