Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 23 replies
  • Subscribers 1 subscriber
  • Views 8479 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSO-AD , user account lock on Win2008/Win7

Momohteks
Hi,

We are using AWG 7.510, and implemented SSO-AD authentication against our win2003 AD domain. This works fine with Winxp and Win 2003 clients.

We are now deploying first Windows 7 ou Win 2008 clients, and we are facing a very weird problem:

On some websites, SSO authentication fails, locks the user account, and a popup is presented to the user. ( our password policy locks the account after 5 attempts)

I insist on the fact that the account is locked BEFORE the popup is presented and the user tries to login.

On the logs i can see:

2012:02:09-13:47:13 AWG01 httpproxy[4569]: [0xae2d2ca0] auth_adir_auth_crap_callback (auth_adir.c:875) Authorization denied (NT_STATUS_WRONG_PASSWORD)
2012:02:09-13:47:13 AWG01 httpproxy[4569]: [0xa927bbf8] auth_adir_auth_crap_callback (auth_adir.c:875) Authorization denied (NT_STATUS_WRONG_PASSWORD)
2012:02:09-13:47:13 AWG01 httpproxy[4569]: [0xad82fe48] auth_adir_auth_crap_callback (auth_adir.c:875) Authorization denied (NT_STATUS_WRONG_PASSWORD)
2012:02:09-13:47:13 AWG01 httpproxy[4569]: [0xa6874f78] auth_adir_auth_crap_callback (auth_adir.c:875) Authorization denied (NT_STATUS_WRONG_PASSWORD)
2012:02:09-13:47:13 AWG01 httpproxy[4569]: [0xb1667b68] auth_adir_auth_crap_callback (auth_adir.c:875) Authorization denied (NT_STATUS_WRONG_PASSWORD)
2012:02:09-13:47:13 AWG01 httpproxy[4569]: [0xa4c80508] auth_adir_auth_crap_callback (auth_adir.c:875) Authorization denied (NT_STATUS_ACCOUNT_LOCKED_OUT)
2012:02:09-13:47:13 AWG01 httpproxy[4569]: [0xa78ac670] auth_adir_auth_crap_callback (auth_adir.c:875) Authorization denied (NT_STATUS_ACCOUNT_LOCKED_OUT)

The problem can be reproduced from any Win7 or Win2008 client, IE or firefox (didn't test other browsers), by going on this page for example :
https://www-304.ibm.com/support/docview.wss?uid=swg27017522

before the complete loading of the page, the account will be locked and an auth pop-up will show.

Thanks for any help.


This thread was automatically locked due to age.
  • 0
    I think that Version 8 probably rectifies this (I know it fixed many issues with W2K8 and W2K8R2 domains and clients) ... unfortunately I see that you are using the Astaro Web Security Gateway ... so there's no direct upgrade path for you.  You might want to talk to your reseller about switching to the Astaro Security Gateway product so you can upgrade.

    You may also want to start a support Case with Astaro Support, they may have a workaround, or it may be some other issue.
  • 0
    I wonder if this is the NTLM/Kerberos issue...  What policy do you have for Proxy Settings?  If you are using the IP address of the Astaro in your GPO, try changing it to the internal FQDN that resolves to the same IP.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi,
    I saw some posts on this forum talking about this, 
    We are using FQDN, and it doesn't solves this.

    Do you know a way to see if we are indeed in kerberos mode?

    Thank you.
  • 0
    Kerberos is tried first if there's an FQDN in Proxy Settings, and then, if there's no answer, it falls back to NTLM.  Kerberos is not tried if Proxy Settings has a numeric IP.

    Cheers - Bob
  • 0
    This is an old post but I have exactly the same problem.
    I am running Firmware 9.103-5 on an UTM220 and the problem often appears.

    I tried to find a solution or a work around but no chance. It seems that the problem is linked with web sockets because it appeared, for example, when users try this url : http://chrome.com/campaigns/rollit and this one opens some web sockets.

    The most strange thing is that it do not happen on our UTM 320 cluster (in another site).

    For information, we are using the http proxy with FQDN and SSO. My security policy is also set to lock out the account after 5 bad passwords.

    Did you find a solution ?

    Best,
  • 0
    Hi, cool, and welcome to the User BB!

    There is no problem from a PC running IE8 on XP accessing via the 9.103 Proxy in AD-SSO and scanning SSL.  If you're seeing the same "crap_callback" message in the log, did you check to confirm that your browser is pointed at the UTM using an FQDN?

    Cheers - Bob
  • 0
    Hi!

    Yeah it was my first post and I did not say 'Hello' sorry about that [:)]

    So, indeed I have the same crap_callback message from my web filtering logs. We use a .pac file provide by a web server in our domain (the URL is set in Internet Explorer) and finally it returns, the FQDN is well used in this file. This is a part of web filtering log :


    2013:07:30-18:37:37 FW2N1FR-1 httpproxy[27510]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xe4740b0" function="auth_adir_auth_crap_callback" file="auth_adir.c" line="866" message="Authorization denied (NT_STATUS_WRONG_PASSWORD)"

    2013:07:30-18:37:37 FW2N1FR-1 httpproxy[27510]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="CONNECT" srcip="***" dstip="" user="user1" statuscode="407" cached="0" profile="REF_HttProDefault (Default)" filteraction=" ()" size="2370" request="0xe4740b0" url="rollit-live-europe-west1-a-2.icanhazwebsockets.com/" exceptions="" error=""

    2013:07:30-18:37:37 FW2N1FR-1 httpproxy[27510]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xfacde50" function="auth_adir_auth_crap_callback" file="auth_adir.c" line="866" message="Authorization denied (NT_STATUS_WRONG_PASSWORD)"

    2013:07:30-18:37:37 FW2N1FR-1 httpproxy[27510]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="CONNECT" srcip="***" dstip="" user="user1" statuscode="407" cached="0" profile="REF_HttProDefault (Default)" filteraction=" ()" size="2370" request="0xfacde50" url="rollit-live-europe-west1-a-1.icanhazwebsockets.com/" exceptions="" error=""

    2013:07:30-18:37:37 FW2N1FR-1 httpproxy[27510]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xe526e50" function="auth_adir_auth_crap_callback" file="auth_adir.c" line="866" message="Authorization denied (NT_STATUS_WRONG_PASSWORD)"

    2013:07:30-18:37:37 FW2N1FR-1 httpproxy[27510]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="CONNECT" srcip="***" dstip="" user="user1" statuscode="407" cached="0" profile="REF_HttProDefault (Default)" filteraction=" ()" size="2370" request="0xe526e50" url="rollit-live-europe-west1-b-2.icanhazwebsockets.com/" exceptions="" error=""

    2013:07:30-18:37:37 FW2N1FR-1 httpproxy[27510]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xfa53e20" function="auth_adir_auth_crap_callback" file="auth_adir.c" line="866" message="Authorization denied (NT_STATUS_WRONG_PASSWORD)"

    2013:07:30-18:37:37 FW2N1FR-1 httpproxy[27510]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="CONNECT" srcip="***" dstip="" user="user1" statuscode="407" cached="0" profile="REF_HttProDefault (Default)" filteraction=" ()" size="2370" request="0xfa53e20" url="rollit-live-us-central1-b-2.icanhazwebsockets.com/" exceptions="" error=""

    2013:07:30-18:37:37 FW2N1FR-1 httpproxy[27510]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xf383188" function="auth_adir_auth_crap_callback" file="auth_adir.c" line="866" message="Authorization denied (NT_STATUS_WRONG_PASSWORD)"

    2013:07:30-18:37:37 FW2N1FR-1 httpproxy[27510]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="CONNECT" srcip="***" dstip="" user="user1" statuscode="407" cached="0" profile="REF_HttProDefault (Default)" filteraction=" ()" size="2370" request="0xf383188" url="rollit-live-europe-west1-b-1.icanhazwebsockets.com/" exceptions="" error=""

    2013:07:30-18:37:37 FW2N1FR-1 httpproxy[27510]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xf60ddd8" function="auth_adir_auth_crap_callback" file="auth_adir.c" line="866" message="Authorization denied (NT_STATUS_ACCOUNT_LOCKED_OUT)"

    2013:07:30-18:37:37 FW2N1FR-1 httpproxy[27510]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="CONNECT" srcip="***" dstip="" user="user1" statuscode="407" cached="0" profile="REF_HttProDefault (Default)" filteraction=" ()" size="2370" request="0xf60ddd8" url="rollit-live-us-central1-a-2.icanhazwebsockets.com/" exceptions="" error=""

    2013:07:30-18:37:37 FW2N1FR-1 httpproxy[27510]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xe474530" function="auth_adir_auth_crap_callback" file="auth_adir.c" line="866" message="Authorization denied (NT_STATUS_ACCOUNT_LOCKED_OUT)"


    If you have a suggestion .. As I said, with my UTM 320, I have no problem to open the link that I posted below.

    Best,
  • 0
    So, after few more tests, the bug appears only with Chrome (obvious, because only Chrome open websockets, the other browser ask to download Chrome).
  • 0
    Ok, few more tests again. I really want to avoid this behavior.
    The problem seems to be linked to the web sockets. So, I searched some problem with the Sophos appliance and I found this thread : 

    https://community.sophos.com/products/unified-threat-management/astaroorg/f/80/t/64886

    Which (in the last reply) redirects to this thread : https://community.sophos.com/products/unified-threat-management/astaroorg/f/55/t/45433

    So, I tried the Websocket echo test to be sure of my idea. I tested it with different browsers :
    - IE9 : no results - IE9 does not support web sockets
    - Firefox (last version) : Web socket CONNECTED (without error in Web filtering log)
    - Chrome (last version) : Web socket ERROR (with error NT_STATUS_WRONG_PASSWORD in web filtering log).

    Conclusion : Chrome can be the problem of such errors.
  • 0
    Hello,

    I come back to you after more test. It appears that the problem is not linked to Chrome but to the Astaro Web Filtering.
    I have run few more test and it appears that on our ASG320 Cluster, there is no problem with websocket but with our UTM220 the problem appears again.

    Anyone has a clue about this problem ?