Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 569 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Multiple Profiles - No Effect

tsull360
Hello,
AD Integrated Web Protection seems to be a tricky topic, it's kicking my butt at the moment. Looking for any help here.

Using UTM version 9.004-33

What I've Done. I believe these tasks are all that is neccesary to enable authentication.

  • I've defined my authentication servers (2), I can enter my test user and have his group membership returned. Modification of group membership (remove from one group, add to another) is properly reflected
  • I've enabled SSO, and have successfully joined to the domain (AD object was created)
  • I've created group definitions, and limited their membership to backend groups I've selected using the picker control
  •  I have *not* checked to created users automatically


For Web Protection, in Web Protection Profiles I've:

  • Defined a Filter Action which specifies what to block
  • Specificied a Filter Assignment assigned to the group created above
  • Configured a Proxy Profile using my filter assignment, standard mode for proxy and AD SSO


As far as I can tell, only the highest order proxy profile is being used, regardless of group assignment.

What am I missing here?

Thanks,
Tim


This thread was automatically locked due to age.
  • 0
    Hi Tim,

    as you already mentioned this part if configuring an UTM is a bit tricky.

    Have a look at the first tabpage of the web filtering profile section - the picture tries to explain how profiles are processed. You have to keept in mind, that the first thing that is considered is the source ip address of a request to determine which profile is chosen (they are proccessed top down and processing is stop on the first match). After the profile is chosen the assignments are considered to determine the filter action.

    So if you have one internal network (e.g 192.168.20.0/24) and one host you want to treat different (e.g. 192.168.20.15) you have to create one profile at position 1 with the special host in source networks and a second profile with a network definition of your network in source networks.

    I hope that helps a little bit.

    Regards
    Manfred
  • 0 in reply to Hallowach2
    Thanks Manfred,
    I may have had a fundamental misunderstanding then of how the web protection works.

    In my case, I only have a single internal network (192.168.80.0/24) which all clients share. I had hoped to be able to segment their ability to surf based on AD groups.

    Is that not possible?

    Thanks,
    Tim
  • 0
    Continuing to learn this feature, I find which ever proxy profile is listed as '1' is the ruleset applied to clients.

    Does this mean group based AD authentication isn't working?
  • 0
    Proxy profiles are an ordered list.  The profile is the first thing that is checked from lowest number to highest (1, then 2, then 3, etc.), based on the source networks parameter (IP Addresses).  If it finds a match, that's the profile which is used.  What you want to do is to have multiple Filter Assignments, each with a different group or groups, linked to a single Proxy Profile (#1).
  • 0
    Thanks Manfred and Scott. Makes much more sense now, have things mostly up and running now.

    Appreciate the help!