Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 8239 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSO-AD Not Working - Not seeing the user ID

BurtonComputerServices
I am working on a ASG220 v8.308 for a client who recently added the web filter license to their unit and I'm having a very hard time getting the SSO-AD filtering working so we can limit by AD groups.  I've gone back and forth with their primary support people (those that sold them the Astaro) and they have given up and said I should contact Astaro/Sophos directly so hopefully these forums will answer my questions (they only have "standard" support).

The first thing I did was made sure under network services -> DNS that the allowed networks as blank and the only forwarded was their internal DNS server.  Then under Definitions and Users -> Authentication Servers -> Servers and added the domain controller.  I then tested using a user on the domain and one not on the domain and the domain user authenticated correctly and listed as in the "authenticated users" group.  I then went to the "Single Sign-On" tab and added the Astaro to the domain (successfully).  

Everything looked good up until this point so I we added some groups in Active Directory for different access levels, one being for some users that need eBay access.  In AD we added a group called "Filter-eBay" and added users to it.  Then on the Astaro I went to Definitions and USers -> Users and Groups -> Groups.  I added a new group called "Fitler-eBay", group type Backend, backend Active Directory.  I put in a group filter of "CN=Filter-eBay,CN=Users,DC=domain,DC=local".  I went back to the authentication server -> server tab and tested a user that is in the eBay filter group and one that wasn't and it correctly showed the membership.

I then turned on the web filter and using a user within the "ebay" group (which is setup to allow ebay, paypal, etc) I tried to get to eBay and I received the blocked message.  I turned on the live log for web filtering and I see the issue...there is no "User" being seen:

srcip="10.0.1.63" dstip="66.201.160.87" user="" statuscode="304"

Everything looks correct as per the help file.  What am I missing?  It's not "seeing" the user so therefor the filters are failing which I understand but why isn't it seeing the user and how do I fix this?  Right now I threw a Web Filter Profile at the top of the list called "Temp Access" that's operational mode is "Standard" but authentication is set to "None" so they at least have web access although not as limited as it should be.  If i switch the authentication to Active Directory SSO, which is that I want, they get prompted over and over for a user name and password when I thought it should be as the name implies Single Sign On.  Everyone has a proxy server set in their browsers and we are using the FQDN of the Astaro (which also is in DNS).


-Allan


This thread was automatically locked due to age.
  • 0
    Hi, Allan, and welcome to the User BB!

    Have you already worked through Configuring HTTP/S Proxy Access with AD-SSO on Astaro Security Gateway?

    Any luck with that?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    In my setup I used in the "Group Filter" the Pre-Windows 2000 naming convention as found on the General Tab of the group in Active Directory. You can try that. I have a couple ad groups using the web filter for quite a while with no issues.
  • 0 in reply to Longman
    Bob - I didn't run through those exact instructions but the ones in the help file within the Astaro itself.  With that said it looks like I did follow the same instructions and yes I did NOT check the boxes to create users automatically (it didn't make sense to do so but I debated it).

    The only thing I see that might be missing is I have no Base DN for my authentication server.  If I test the login of one of the users in my "full access" group this is what I get:

    User authentication:
    Authentication test passed.

    User is a member of the following groups:
    Active Directory Users
    Filter-FullAccess

    Which is correct.  I have one other group called "Filter-eBay" that the user I tested is not in.  So the test works.  I did add a Base DN of "CN=Users,DC=ourdomain,DC=local" but it didn't make a difference although I can't switch the web filter to standard mode until the systems not being used (it's set for transparent right now since I can't get the users to show up).

    Is there anything else I can check?  Right now on the Web Security -> Web Filtering section it's set for Transparent mode and authentication: None.  If I switch the authentication to AD SSO the user gets prompted over and over so I left that on none.  Then under "Web Filtering Profiles" I have my top profile set for Operational Mode: Standard and when I switch the authentication to AD SSO the user gets denied everything since the user isn't showing up in the log.  So right now in the profiles authentication is set to none.  If I look in the live log I see my profile name so it seems to follow the profile (my profile name is "TEMP - Allow Everything But Harrmful for Everyone" for now):

    2013:02:17-22:42:35 Firewall1 httpproxy[24145]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="10.0.1.142" dstip="108.160.160.158" user="" statuscode="200" cached="0" profile="REF_HttProTempAllowEvery (TEMP - Allow Everything But Harrmful for Everyone)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="15" request="0x8f81d08" url="notify23.dropbox.com:80/subscribe

    So things are working with my temp profile but if I could get the router to recognize the user I can get rid of this and go back to th actual filters based on AD groups.

    -Allan
  • 0
    Here are some screen shots of my setup; maybe something you see may help.
  • 0
    Nope, pretty much the same but thanks for posting.

    I re-ran through the instructions Bob posted from the beginning and everything is correct.  I even deleted the router from Active Directory and rejoined it and it joined just fine.  Everything worked fine but it simply won't show the user in the log and therefor I can't limit by users.

    So I tried the Astaro Authentication Agent and installed that and switched the web filter to transparent proxy and the authentication mode to Agent and it correctly showed my user on the web filter log.  So I think it simply doesn't work correctly with SSO.  I mean I'd love to use it and not have to set everyone up with the agent and have to log into it but it does seem to work.

    Is this my only choice?
  • 0
    I do have my internal domain dns servers in "Network Services-Dns-Request Routing"
    also. I recall having an issue until I did that though I don't recall the details.
  • 0 in reply to Longman
    I just tried adding that for both "domain" and "domain.local" to forward to the AD/DNS controller but still no luck, still shows user="" although right now were in Transparent mode because of the issues we've had.  I'll test it Sunday to see if it actually made a change.
  • 0
    Well after messing with this way more hours then I should have and also finding multiple people that are having the same issue as me I've concluded the AD-SSO just doesn't work correctly for everyone on these devices.

    I ended up deploying the Authentication Agent MSI through GPO which I quickly found didn't install the certificate needed but thankfully this person had the same issue:

    https://community.sophos.com/products/unified-threat-management/astaroorg/f/55/t/45688

    And then this told me how to deploy the certificate through GPO:

    Deploy Certificates by Using Group Policy

    and now everyone gets the AAA and certificate through group policy.  It's not the ideal solution but it "works".

    -Allan
  • 0
    It works great everywhere I've deployed it, so there must have been something missing.  My guess is that it was somthing to do with the GPO you deployed for Proxy Settings.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    It works great everywhere I've deployed it, so there must have been something missing.  My guess is that it was something to do with the GPO you deployed for Proxy Settings.

    Cheers - Bob


    No, GPO is pretty simple.  I also turned off locking down the connections tab and manually entered the information and the user never came up.  Their old proxy worked perfectly but it was 10 years old and dying.   Doesn't matter much anyway...in "standard" proxy mode the customer couldn't edit parts of their webpage that used heavy java scripting until the proxy was put into transparent mode. 

    Of course now the filtering profiles don't work how they should in the help file so thats a good time which I just posted about (http://www.astaro.org/gateway-products/web-protection-web-filtering-application-visibility-control/46515-web-filter-proxy-profiles-not-working-they-should.html#post226757).

    -Allan
Cookie Information Banner