Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 26 replies
  • Subscribers 1 subscriber
  • Views 9231 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSO issue

PeterRL
Hi All,

I´m posting on the forum for the first time, so please excuse in advance, if the information posted is not enough.

I´m currently installing a UTM 9.006-5 and i need it to use SSO in a Explict Proxy mode, but for some reason, the SSO isn´t working.

The AD is 2008 R2, and i´ve several events like this ones:

http" request="0x88354e0" function="auth_adir_auth_crap_callback" file="auth_adir.c" line="841" message="Authorization denied (NT_STATUS_ACCESS_DENIED)" 

The UTM was added to the AD without any problem. I even rejoin the UTM (deleting the previous object on AD first), but still no luck.

Let me know please, and thanks in advance.


This thread was automatically locked due to age.
  • 0
    Hi, adenewton, and welcome to the User BB!

    You could have logged in to the console.  If you hadn't yet set the password for root, you would have been able to create it at the first login.

    When you post a question, always remember to indicate your precise version, like 9.006-005.

    Cheers - Bob
  • 0
    I have exactly the same error as rfernandes. Is this a bug in this version?
    I changed MTU and didnt work. I think I am going to reset its configuration and try everything from the scratch using one version older because I cant imagine what could it be.

    The sad part is that I was configuring this Astaro in a new customer and I had to abort and schedule to another day.

    EDIT: "Solved" using the FQDN instead of the IP in the browser proxy. I don't recall where but I remember Balfson saying something about kerberus and ntlm authentication. Is there any way to revert this and using the IP instead of the FQDN?
  • 0
    If you use the IP, NTLM is tried first.  If you use an FQDN, NTLM is tried only if Kerberos fails.  I've never seen a way to change that behavior here, and I don't think there's anything on the Features suggestion site.

    HTTP-S Proxy Access with AD-SSO should work just fine.

    Cheers - Bob
  • 0 in reply to BAlfson
    Actually, the proxy is only working if I use FQDN. By IP isnt working. The browser keeps requesting user and password if I insert the IP [:(]

    I would like to correct this...
  • 0 in reply to Godself
    This has also come back for me. I was using the IP of the server in the proxy server field, so changed this to the FQDN as recommended in the thread, but it hasn't resolved the issue for me. Still keeps popping up asking for a username and password whenever attempting to use the proxy.

    Is there something I'm missing here in terms of a backend problem authentication wise with active directory. That may not even be related to the UTM. I don't understand why it works fine for a few days, then this literally pops back up!
  • 0
    What related lines do you see in the Web Filtering log? Winbindd errors?  crap_callback?  Please show us several related lines.

    Cheers - Bob
  • 0 in reply to BAlfson
    Here's log file:

    2013:05:08-14:56:40 BOWSPUTM42501-2 httpproxy[5197]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x92cf6e8" function="auth_adir_auth_crap_callback" file="auth_adir.c" line="841" message="Authorization denied (NT_STATUS_ACCESS_DENIED)"
    2013:05:08-14:56:40 BOWSPUTM42501-2 httpproxy[5197]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="10.50.1.144" dstip="" user="newtona" statuscode="407" cached="0" profile="REF_HttProIctItDefau (ICT IT Default)" filteraction=" ()" size="2409" request="0x92cf6e8" url="www.google.co.uk/" exceptions="" error=""
    2013:05:08-14:56:52 BOWSPUTM42501-2 httpproxy[5197]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x92cf6e8" function="auth_adir_auth_crap_callback" file="auth_adir.c" line="841" message="Authorization denied (NT_STATUS_ACCESS_DENIED)"
    2013:05:08-14:56:52 BOWSPUTM42501-2 httpproxy[5197]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="10.50.1.144" dstip="" user="newtona" statuscode="407" cached="0" profile="REF_HttProIctItDefau (ICT IT Default)" filteraction=" ()" size="2409" request="0x92cf6e8" url="www.google.co.uk/favicon.ico" exceptions="" error=""

    I currently have Filter actions called ICT dept and ICT dept lunch with varying rules for both, more freedom during lunch for social media etc.

    I then have filter assignments called the same which define the allowed groups, time events and filter action.

    In proxy profiles I then have ICT at the top with both of the filter assignments included allowing any IPv4 with operation mode standard and Authentication set to Active directory. 
    Below that is the default profile with the default content filter profile and default fallback with the same networks and authentication method.

    My test filtering group in Definitions & Users > Users & Groups includes the ICTIT and ICTSQL, AD groups of which my user account is a member of that is getting the above error.

    We're on FW 9.006-5

    Thanks
  • 0
    The first thing to try is rejoining the domain.  Delete the "BOWSPUTM42501" account in AD and then join again from the 'Single Sign-On' tab in WebAdmin.

    Hopefully your configuration isn't in violation of what I call The Zeroeth Rule:

    Start with a hostname that is an FQDN resolvable in public DNS to your public IP.
    If you didn't do that, start over with a factory reset; it will save you hours and frustration.


    Cheers - Bob
  • 0
    My logs shows exactly like his. Crap_callback (same line)..
    Rejoining was one of the first things I tried and didnt work...
    So...after all starting over is the fastest solution?
  • 0
    Do you have winbindd errors, too?

    Cheers - Bob