Authentication with transparent proxy profile ?

 So i can use SSO within (transparent) profiles?

No, with SSO you use the Standard Mode, the Transparent Mode is with AD authentication (SSO) not possible.

Information:
Please use a dedicated user-group in the AD (for example - Webfilter_Users), please do not use the default "domain-user" group.

Nice greetings

Hello,

thx for reply.
I've attached some screenshots about my actual config.
When i assign several users to this profile (actually these are local (utm) accounts with agent-authentication), may i have the possibility to select ad-accounts here? So when the user gets catched by the transp. proxy this have to validate the user/groups which are selected for this specific profile. So i don't understand how the proxy reacts when a ads-user is coming from the given source-network. Will the fallback-profile (main profile) catch the traffic (browser-login) even the user is configured in the proxy-profile? I dont already have an active directory attached to the utm so i'm very confused if this is maybe a silly idea?

Thx in advance,

Manuel

Hi, Umpf,

It's hard to see what you want to accomplish because you've blacked out so much information.  Instead of that, please replace your pictures with ones that have fake, but coherent, information.

Cheers - Bob

Sorry,

here again:
Actually i'm using it at home with the local sophos client, it works great.
The question is: When i'm using this transparent profile with several user-assignments and this users are domainusers, what will the proxy do when they are requesting a url with no local authentication client running? Just block, because the proxy in transp. mode dont check the actual user in active directory?

Thats a biiiiiig issue! :-(

I thought i a bigger environment i dont have to configure each client/browser to a standard proxy or do so with a gpo. the transp. one is much more comfortable.

As you have the Profile configured, an unidentified user will use the 'Fallback: Default content filter action' = the first three tabs of 'Web Filtering'.  If you want to block unidentified traffic, choose the "Default content filter block action" instead.

If you don't have the Authentication Agent active with the Profile in "Agent" mode, then the users won't be identified and all accesses will fall through to the 'Fallback action'.

With no Agent authentication, the only way to identify users in Transparent mode is to put the Profile in "Browser" authentication mode.  You can set the 'Authentication timeout' on the 'Advanced' tab.

Cheers - Bob

Hello,

thanks for answers.
I've switched over to standard-profile (non-transparent) which works great with ads-sso. For the rest i use the fallback-profile (transparent with browser-login).

Is there a chance, to get a second profile to working after the existing first one (ads-sso) for the same subnet or is it "just one profile per subnet"?

I've to authenticate some single-machines (no AD-Account/Users) within the same ip-range, but don't want to create them as local hosts on the utm.

Thx in advance,

Manuel

you can do many more profiles as you wish, but profiles are like firewall rules. If one user or PC exist in the first profile, the second profile fails

Thats the Problem: I cannot use user group objects, i have to use hosts, host-groups (network-group) - both ip-based -  or subnet-definitions. 

With a first profile i want to catch all Domain-users within a AD-Group "Internet" with sso (very comfortable for the user). Then i wish to use a second profile with agent-authentication for the (domain- and local) users, which are not in the AD-Group "Internet" (or local users on ADS-Computers and standalones).

With the fallback option (= third "profile") i want to catch the rest via browser-based login (transparent HTTP/S) from all the internal subnets.

Can this setup work? I Noticed, when i create a second profile which is also listening on the same subnet like the first one, then the first one fail (Domain-Users with SSO cannot surf, they get an error page). So i think, i can't use a subnet-definition like "192.168.1.0" for 2 profiles at a time. I've to define a host-/network-group for the first one (or use an AD-Group with computer-accounts defined in here) and the second one catch the rest (subnet 192.168.1.0 definition), this should work i think.

Thx in advance,

Manuel

Hi Manuel,

For example, our Astaro uses an AD-SSO Profile named "Office" for "Internal (Network)" and our default (the first three tabs of 'Web Filtering') is in "Transparent" mode for the same subnet.  You also could do this with a Profile in Transparent. 

If I login to the domain from my laptop, my traffic is handled by the "Office" Profile.  If I log out from the domain, but connect to "Internal (Address)" from my laptop, my traffic is handled by the default because it doesn't qualify fo the Profile in AD-SSO mode.

Is that what you're trying to accomplish?

Cheers - Bob

Hi,

i'll do it with a second (now its the first rule in order) profile, catches the host-group for agent-machines with a agent-profile. the rest of the subnet will be catched by ad-sso profile (second one). All others are fallback.

disadvantage is: The whole machine is bound to the agent profile. When a domainuser login to this machine (bus still has NO agent configured/started), he'll fall back into the third (fallback) profile (browser-auth). But ok, then he has to type in his domaincredentials...

Thanks for helping me.

Manuel