Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 1003 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Proxy fallback action and different auth methods

dlehman
This issue is similar to another post on here, but not the same I didn’t want to hijack his thread.  
The proxy fall back action isn’t behaving as I would expect, my understanding is if the filter assignment fails it falls back to this action.  
I have the global filter setup to be transparent and none
I have a group of PC’s with the agent installed for authentication when switching between users the agent fails.  When this happens the user cannot browse anywhere, they get an authentication failed error message, until they restart the agent. 
I have a proxy profile setup for the agent PC group, I have assigned a group of users to it and set it to transparent agent.  
I have the fall back action set to default filter.

Instead of getting the authentication failed error I would like to users to fall back to the global transparent none policy and just get that more restrictive filter vs no browsing.

Thank you


This thread was automatically locked due to age.
  • 0
    I guess the Agent must be stopped and restarted.  That might be a bug in the agent.

    If the agent is not started, what profile does the Web Security log is chosen? (My guess is that the access does not qualify for the Profile with Agent authentication, but please confirm.)

    Cheers - Bob
  • 0 in reply to BAlfson
    It does not look like a profile is chosen, here is a snip from the log.


    2012:11:15-16:55:20 filter httpproxy[18640]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="" srcip="192.168.1.10" dstip="" user="" statuscode="502" cached="0" profile="REF_HttProAgentPcs (Agent PC's)" filteraction=" ()" size="0" request="0x96edd78" url="removed" exceptions="" error="Failed to verify server certificate"
    2012:11:15-16:55:27 filter httpproxy[18640]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="" srcip="192.168.1.7" dstip="" user="" statuscode="502" cached="0" profile="REF_HttProAgentPcs (Agent PC's)" filteraction=" ()" size="0" request="0x96d0528" url="removed" exceptions="" error="Failed to verify server certificate"
    2012:11:15-16:56:57 filter httpproxy[18640]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="" srcip="192.168.1.7" dstip="" user="" statuscode="502" cached="0" profile="REF_HttProAgentPcs (Agent PC's)" filteraction=" ()" size="0" request="0x970e9b0" url="removed" exceptions="" error="Failed to verify server certificate" 



    If we forget about the bug in the agent for a minute I want to allow basic web access even if agent auth fails.  
    Here is the process I’ve tested
    With the settings I’ve outlined above , on a PC that is in the agent group;
    Run the agent and log in you have appropriate web access
    Close the agent from the task tray and you get authentication failed.  
    What condition would cause the fall back action to trigger if not this. I guess if a user can auth but does not belong to the correct group the fall back would be called.  But in my case I want the fall back to be called when the user is null.  
    I have not seen the option but is there a special group or user for everyone or anonymous that I can assign the default profile?

    Edit:
    I've also tried setting the profile to transparent None and then logging in to the agent.  Of course the agent is ignored and I get the same profile.  

    Edit2:
    Bob, this is exactly what I want and according to what you said here this should work, but is not for me.
    http://feature.astaro.com/forums/17359-utm-formerly-asg-feature-requests/suggestions/1865133-web-security-single-sign-on-sso-fallback-authen





    Thank you,
  • 0
    Yes, that's with AD-SSO which works in Standard mode.  This Agent thing in Transparent apparently doesn't work the same way.   The added complication apprears to be that you also are scanning HTTPS.  And statuscode="502" might mean that you need an Exception for anti-virus or certificate checking for this site.

    Cheers - Bob
  • 0 in reply to BAlfson
    Thanks Bob,

    Error 502 is bad gateway

    the HTTPS scanning does not solve the problem.  If I turn off https scanning with these profiles I can browse to https websites such as bank, mail, and google. However non https sites receive the same error.  

    If HTTPS is not on then effectively https is completely open.