Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 6127 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Web Proxy asking for credentials

ntoupin
Hi,
We have AD SSO turned on for http proxy and it has been working fine.  I do believe we have everything configured correctly as we've been using it for a couple months with the filters working correctly etc.

From time to time a user or a few at a time will receive a pop up coming from the firewall prompting them for their credentials when browsing to a website or using another http method to get through the proxy.  It's not a huge issue just annoying here and there as it continually pops up typically until they reboot the machine.   

I have this happening in two locations on two firewalls (same domain) and a similar network to ours that has 4 firewalls in 4 buildings who are having the same issue.

(Model: ASG320, V 8.305-8.306)


This thread was automatically locked due to age.
  • 0
    Instead of rebooting, what happens if they log off and log back on?

    Cheers - Bob
  • 0 in reply to BAlfson
    Instead of rebooting, what happens if they log off and log back on?

    Cheers - Bob


    *sometimes* works.  
    Sometimes it happens to a user, they can log off and on a couple times with it still happening.  It's been happening more and more frequently as well.

    A colleague of mine from another location who has astaros as I mentioned before has tried setting up prefetch directory users with possibly some improvements.
  • 0 in reply to ntoupin
    Might want to try updating to the latest version of V8, or take a look at Version 9 (9.005-16 on more current hardware is turning out to be a pretty good version).

    Also, make absolutely sure that the time on the UTM is close to the time that the workstations and AD server(s)  -- Kerberos is sensitive to excessive time differences between clients and servers.  Make sure you are using the fqdn of the UTM (not the IP) in your proxy configuration(s).
  • 0 in reply to BrucekConvergent
    Might want to try updating to the latest version of V8, or take a look at Version 9 (9.005-16 on more current hardware is turning out to be a pretty good version).

    Also, make absolutely sure that the time on the UTM is close to the time that the workstations and AD server(s)  -- Kerberos is sensitive to excessive time differences between clients and servers.  Make sure you are using the fqdn of the UTM (not the IP) in your proxy configuration(s).



    Version of UTM hasn't mattered, same thing happening on 8.3.x as well as 9.x ones.  

    Time is within 2-3 seconds.

    Am using the FQDN of the UTM.
  • 0
    I'm not seeing this anywhere.  I wonder if maybe there isn't a networking issue that causes enough latency for the authentication to fail for the Proxy.  Does anyone know if there's a timeout of some sort that can be adjusted from the command line?

    Cheers - Bob
  • 0 in reply to BAlfson
    I'm not seeing this anywhere.  I wonder if maybe there isn't a networking issue that causes enough latency for the authentication to fail for the Proxy.  Does anyone know if there's a timeout of some sort that can be adjusted from the command line?

    Cheers - Bob


    I would be very skeptical if it was something "local" to our network seeing as it's happening at another school district in other towns in 5 other buildings with their own ASGs.  If there is a timeout setting to change for the proxy authentication that would be something I'd definitely be interested in willing to try, it very well could be possible that a connection isn't authenticating "in time" for the proxy on the ASG.
  • 0 in reply to ntoupin
    You should start an official support case with Sophos, sounds like you have commerically licensed units -- that would probably be the quickest path to resolution.
  • 0
    We've had the same issue since Version 8.  We use e-directory for the SSO.  According to the User Authentication Daemon log we get this:
    2013:03:13-13:36:43 Linus aua[14004]: id="3006" severity="info" sys="System" sub="auth" name="Could not find a user with this ip: ***x.***x.***x.***x"
    2013:03:13-13:36:43 Linus aua[14004]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="***x.***x.***x.***x" user="***x.***x.***x.***x" caller="http" reason="DENIED" 

    This is a hit and miss also.  Been dealing with this for a couple years and can't seem to resolve it.