Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 1 subscriber
  • Views 6788 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Proper AD Authentication Setup

CWanamaker
We are brand new to Sophos and recently installed a box for a client. They have AD and we would like to have a Captive Portal setup so users have to authenticate to get to the internet.

We've connected the UTM to AD and the server test passes. We can do a username lookup and that passes as well. However, when an end user tries to enter their username and password on the bypass screen, we get an error message that the username or password is invalid.

Is there a step by step guide on how to properly set this up?


This thread was automatically locked due to age.
  • 0
    You might be intersted in my article in the Sophos KnowledgeBase: HTTP-S Proxy Access with AD-SSO

    Also, email my username here @ the domain in my signature, and I'll send you a copy of "Configure HTTP Proxy for a Network of Guests" that might give you some hints.

    Take a look at those and then come back here  to ask questions.  When next you post in this thread, please tell the exact version of the software (9.104-17?) and whether the customer has a susbscription for Wireless Security.

    Cheers - Bob
  • 0 in reply to BAlfson
    Thanks for the info. However, we would like to stay away from having to set the Proxy on the system itself. Can Sophos handle a login in from a web page instead (similar to the Untangle Captive Portal)?
  • 0
    Version?

    Wireless Security subscription?  If not, and you want to use Transparent mode then select "Browser" authentication.  Set the time between re-auth requests on the 'Advanced' tab. Customize the welcome in 'Management >> Customization'.

    In Standard mode (requires config of Proxy Settings), the proxy manages all of the 'Allowed target services' on the 'Advanced' tab.  The 'Transparent mode skiplists' do not apply in Standard mode.  In Transparent, the proxy manages only HTTP (and HTTPS if SSL scanning is selected), so all other traffic must pass via Firewall rule.

    Good luck!

    Cheers - Bob
  • 0 in reply to BAlfson
    Sorry about that - I thought I had mentioned it. The version is 9.104-17 and there is no Wireless Security subscription.

    After reading through a few things, I understand that different methods (standard and transparent) but it's the authentication part that I am having problems with. We have the firewall connected to our DC with AD, but when users try to enter their username and password, it comes back with a failure and that it couldn't authenticate.
  • 0
    Please [Go Advanced] below and attach a picture of the 'Global' tab if your settings are different than the following:



    Also, show a picture of your Backend Group definition.

    Cheers - Bob
  • 0 in reply to BAlfson
    Here is a screen shot of what I have
  • 0
    Aha!  I'll get that oversite fixed in the KB article...

    You can't use built-in groups like "Domain Users" - you must define a Backend Group based on a manually-created Security Group in AD.  Make that change and I bet that gets you going.

    Cheers - Bob
  • 0 in reply to BAlfson
    The group name "Domain Users" is what I call it in the UTM (defined under Users & Groups > Groups). It is setup as a Dynamic Membership using the following:

    OU=Client Domain Users,DC=Client Domain,DC=local
  • 0
    I wish it weren't so, but, "you must define a Backend Group based on a manually-created Security Group in AD."

    I haven't tried it in several years, so I'd be interested to hear the results of an experiment with a Security Group containing "Domain Users" instead of individual users.

    Cheers - Bob
  • 0
    I can't speak to the Web Proxy but on the SSL VPN side, we have AD backing our allowed user list and I've manually created a AD Security Group called "UTM Users" which works fine.

    My question about this group you specify, "OU=Client Domain Users,DC=Client Domain,DC=local " that looks like a Organizational Unit, not a Security Group. The security group I use shows like this: "CN=UTM Users,OU=Redacted,DC=test,DC=local" (sanitized for security). As a Security Group is required, I doubt a Org Unit will work.