Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 24 replies
  • Subscribers 1 subscriber
  • Views 9265 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Web filtering profiles - Time Events

corsairetc
Hello,
I join astaro to active directory. In AD I was create groups:
Astaro internet w/o facebook ( internet with facebook block acces)
Astaro FB allow (FB is allow)
Astaro internet time acces ( internet for users in specific time)
------------------
I create samo groups in astaro and add this grup by:
Backend membership
Backend : Active Directory
tick the limit backend groups membership
And choose group from AD on DC
------------------------------------------------
In category 
Web Protection/web filtering on global
I set standard mode/authentication AD SSO/allowed Users/group choose precreated group
Backend AD GRP
------------------------------------------------
In Authentication server/Advanced 
I add this group to Prefetch directory users
and tick Enable backend sync on login
----------------------------------------------------
In Time Period Definitions
I created time events
Internet_acces_mornig 
Internet_access_afternoon
--------------------------------------
Now in web filtering Proifles/Proxy Profiles I added this rules:
FB
NO FB
internet_mornig
internet_afternoon
Default filter assigment
----------------------------------------
The rules FB NO FB works without problem but time events doesn't works.
But interesting is, this rule works only for one user from whole group but for the others doesn't. I really dont know where could be the problem.
I was try remove and add the groups in astaro and in AD, Prefetch users.

Many thanks for any help I now starting very desperate from this :-)


This thread was automatically locked due to age.
  • 0
    If your users are already in FB or NO FB group, than that rule will apply and no further rules are tested.
    The time rules are only evaluated once a user is neither member of FB and NO FB.
  • 0 in reply to apijnappels
    No In FB are diffrent users. I have na seme users in differents groups. 
    Right now I put in astaro group Astaro internet Access time only users from AD not created group in AD and for most of them it start work.
    Still I'am not wise from web filtering/global
    Which group I should add Right now is here Backend AD GRP but mabe I shoul place here groups above.
  • 0
    First, go through HTTP-S Proxy Access with AD-SSO to be sure you have AD-SSO configured properly.

    In Authentication server/Advanced 
    I add this group to Prefetch directory users and tick Enable backend sync on login

    It's not necessary to prefetch users for AD-SSO. See #6 in https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/22065.

    If you're still having problems after reading those, please [Go Advanced] below and attach pictures of the "NO FB" and "internet_mornig" filter Assignements opened in Edit mode with the Backend Group also opened in Edit mode.  Also, attach a picture of 'Global Web Filtering settings' in Web Filtering.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi, I set everything as you advice. UTM comunicate with AD and I also created gruops in astaro with AD backend membership.
    I attach screens what you want.
  • 0
    The 'Global' tab doesn't work like a Profile.  I usually leave the 'Global' tab in Transparent mode, select 'Single Scan' on the 'Antivirus/Malware' tab and configure the 'URL Filtering' tab to be more restricted than most Filter Actions.

    Configure a Web Filtering Profile in Standard/AD-SSO with your Filter Assignments.  Be aware that the order is important: once an access qualifies for an Assignment, no others are considered.

    Cheers - Bob
  • 0
    Hi I was attach my global filtering page. I was set here an Standart mode.
    I set up 'Single Scan' on the 'Antivirus/Malware' tab and I configure the 'URL Filtering' tab 
    to block all and this is my default fallback action.
    I was also attach screen of my Proxy Profiles.
    I also open live log on web filtring/global and this is interesting user mn-jf is part of group ,,internet time access" but in log is still part of group Internet w/o facebook.
    Here is line of log.
    2013:09:25-07:31:20 mail-1 httpproxy[9493]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.100.162" dstip="77.75.76.72" user="mn-jf" statuscode="200" cached="0" profile="REF_HttProTest1 (Mesa internet access policy)" filteraction="REF_HttCffFa1 (Internet w/o facebook)" size="43" request="0x12fbbe38" url="i.imedia.cz/impress
    But he should use internet_time_acces Filter actions.
    So he probably still member of group Internet but he isn there must be the problem with replications between astaro and AD.

    2 question:
    Do I need use category Authentication servers/Advaced/Prefetch directory users.
    Can I leave it blank or I have to add here the same groups like in web filtering ?
  • 0
    I recommend that you change the 'Global' tab to "Transparent."  In it's present configuration, it is never used since it looks for the same Groups as are used in the Filter Assignments in your Profile.

    I also open live log on web filtring/global and this is interesting user mn-jf is part of group ,,internet time access" but in log is still part of group Internet w/o facebook.

    The user "mn-jf" qualifies for "NO FB" so "internet time access" is not considered.

    I think you don't want an "internet time access group" and that your design reflects a misunderstanding of how Profiles work.  I guess that you want four Filter Actions with four Filter Assignments: "FB morning" "FB afternoon" "NO FB morning" and "NO FB afternoon."

    If you still need help, please describe what you want to accomplish.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hello, thank you for you answer. So you said if I not set the transparent it won't be work.
    I do'nt want to swicth to transparent proxy in web filtering/global
    Because I had alredy set up group policy for automatic proxy settings.
    This proxy setting is aplly only for some groups ty others are without proxy settings.

    The user mn-jf is member of group Internet_time_acces (attach screen group) with other 10 users. Member of this group is mn-test and for this user work time acces without problem and also for the next 5 users, but user mn-jf and other three more not working.
    Time event for this group (attach screen time vent) is set to 8 - 11 am and 1 - 2 pm).

    Truth is I could delete filter action Internet_time_access for filter assigment (internet mornig & afternoon) and set the filter action internet w/o facebook.

    I still do'nt know if I need to use ,,Prefetch directory users " for this filtering.

    Thank you again for answer.

    Or how is the best proceed to setup this.
    My idea is:
    I. In web filtering/global tab standart mode 
    I put to allow group all users which are ave access to internet.
    URL Filtering Block all by default only allow intranet web site.

    II. In Web Filtering/Proxy Profiles 
    Create this rules with this priority
    1. FB (internet acces for users even with facebook)
    2. NO FB (internet acces for users w/o facebook)
    3. Internet Morning (internet acces from 8 to 11 am with also no FB)
    4. Internet afternoon (internet access from 1 to 2 pm with also no FB)
    5.default filter assigment

    III.
    In AD I had already create group: 
    inter_access_astaro (FB allow)
    internet_access_w/o_facebook
    internet_time_access
    In that group are specified membors and any of this member isn't membor of two different groups.

    Is this scheme workable? or how to do this.
  • 0
    I think you can save time by reading the first few pages of the "Web Filtering Profiles" section in the manual.  The first three tabs of 'Web Filtering' are where you define the "Default Profile," not any "global" behavior.  The Default Profile is only used if an access doesn't qualify for any of the other Profiles.

    What I wanted to understand was what you wanted to accomplish, for example, something like:
    User Group       Morning                   Afernoon
    ---------------- ------------------------- -----------------------
    Open Access      block ****                block ****
    Some Access      block **** & FB           block **** 
    Little Access    allow only site list      allow only site list

    Cheers - Bob
  • 0 in reply to BAlfson
    Hello, yes I readed the page of filetering again nad again but still don't get the philosophy how it should to work. It is little confuing this fallback action and default filter action and default filter assigment.

    I want to accomplish something like this 
    1. Personally department could acces to internet at any time without any restriction.
    2. Office users could access to internet at any time but with restriction with FB and nudity .....
    3. Production users could acces to internet only in allowed time with restriction like office users
    4. For any other users which they are not member of the groups above is internet access block. So I think this must be the fallback action to block all default action.

    I was create this three groups in MS AD and put there mebers from this department as I mentioned above.

    Here is my testing configuration:
    I find in manual for proxy profiles this:
    Position: The position number, defining the priority of the proxy profile. Lower numbers have higher priority. Proxy profiles are matched in ascending order. Once a proxy profile has matched, proxy profiles with a higher number will not be evaluated anymore. Place the more specific profiles at the top of the list to make sure that less restrictive profiles match last.

    So I try to sort the rules in this philosophy.
    See attach file.
    FB and NO FB filtering works prefectly.