Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 7573 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Proxy authentication issue with local user

nda
Hi,

We have set up a test proxy for our company - standard mode with AD SSO and it work quite well.
Mainly for linux server, we need a proxy user for Yum or Apt. But i get a error 407 - Proxy Authorization Required.
We don't have problem with our old ISA server.

The yum.conf on the server contain "proxy", "proxy_username" and "proxy_password".

I created a local user on the UTM and added it in Web Filtering-Global-Allowed users/group but let the authentication mode to "Active Directory SSO" as the user need to authenticate via the SSO.
In Web Filtering Profile, I added a Filter Action, a Filter Assignement and a proxy profile with basic user authentication.

I don't find any trace in the the WebFiltering log.

Is it possible to mix AD SSO and basic authentication? I guess it is, but how?

Nicolas


This thread was automatically locked due to age.
  • 0
    Have a look at Web Filtering Profiles, this is what you need.

    Alternatively create an exception for these hosts to skip authentication.
  • 0
    I already did. 
    Web profile created for this suer only with basic authentication...

    FOUND!!! I changed the proxy profiles order : 1st local user, 2nd AD instead of the oposite and it work now!!!

    Hope it can help somone else.

    Nico
  • 0
    Now the internet access for AD users doesn't work...
  • 0
    Restrict the network.
    Make a group of network objects which includes your linux machines. Assign the profile with basic auth to them and put that profile on top.

    Then put the Internal network to the AD auth profile and put this profile on 2nd position.

    Now your linux boxes should pick pofile 1 and the rest of the network should use profile 2.
  • 0
    I think it would be easier to do it via Exceptions.  

    Have your one profile for your AD users.  Create an exception that skips authentication for all requests coming from the source networks and put in your linux ips.  Depending on your setup it may hit the Fallback Action - if you have that set to the block action you may want to also skip the URL Filter check.

    Note that this would give the linux servers access with no login and without categorization blocks.

    If you do decide to use basic auth, please realize that passwords are transmitted insecurely and can be snooped.
  • 0
    You only can have a single Standard profile for a network. You can have a Standard profile and a Transparent profile for a network. 

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
  • 0
    Hi,

    I created a network group for the Linux boxes and a profile that use the local user and it work fine. I prefer this to a complete authentication skip.
    Thanks for your help.

    Nico
  • 0 in reply to BAlfson
    You only can have a single Standard profile for a network. You can have a Standard profile and a Transparent profile for a network.

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.


    Balfson,

    Does this means that we can have a "mix" on regards authentication? I have a scenario where we have a profile offering Standart Mode SSO for the internal network. We also need to offer non AD authentication, since the company has some users that don't belong to the company, thus, they don't have AD users, neither their machines belong to the domain.

    Is there any way to enable access to the internet to those external users, without having the need to configure a "guest" network to be configured on a new profile with local authentication ?
  • 0
    I use two different approaches when guests can't be separated by IP-address range, both of which require that all employee devices use the Proxy in Standard mode.

    One avoids the proxy for non-employees and uses an Additional Address "Guest" on the External interface for guest accesses with 'SNAT : Internal (Network)  -> Web Surfing -> Internet : from External [Guest] (Address)'.

    The other has a separate Profile in Transparent mode in addition to the first approach if possible.  In any case, in Transparent mode, only port-80 traffic is handled by the Proxy.

    Cheers - Bob