Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 24 replies
  • Subscribers 1 subscriber
  • Views 15131 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM 9.2 transparent mode AD SSO

hage1
Profile is set for transparent mode, AD SSO authentication.  This should work with no proxy configuration on the clients.  However, if I don't configure the clients with IP of proxy server and port 8080, no internet connection.  If clients are configured with this proxy info, everything works fine.  Tech support said I needed to add the IP of the proxy server to trusted sites in the clients, but this made no difference.  Obviously transparent mode also scans port 8080.  It works, but it bothers me that it is not working as it is supposed to.  Anybody else run into this or have a solution?  Thanks.


This thread was automatically locked due to age.
  • 0
    Hi Hage1, 

    I am having the same issue. Installed Utm 9.2 yesterday and I need this option on customer site.
    In trasparent mode, web Filtering does not work. Either the username is not diplayed. If I switch ti standard and configure proxy, it works!

    Hope that someone will help us.

    Luciano
  • 0
    You might have a problem with not configured correctly for transparent mode.  You might have a problem with not configured correctly for AD SSO.  You need to figure out which this is.

    First of all, turn off AD SSO, since to None.  Does transparent mode start working?  If it doesn't then you need to understand how transparent mode works.  Your UTM must be a firewall between the computer and the internet - the packets must flow through the UTM.  There must not be anything between the computer and the UTM that is removing those port 80 packets.

    If transparent mode works but AD SSO does not, what error do you get?  Page load forever or a block page saying it cannot authenticate?  Do you get a browser pop-up asking for credentials?

    The UTM's FQDN must be resolvable by the computer.  If you are on the computer and you ping the UTM by name does it resolve to an IP?

    If you are using IE and you get a popup asking for credentials, you can get rid of the popup by adding the UTM's FQDN to the "Intranet" sites (not IP, not trusted).
  • 0
    Thank you Michael for your answer. I Think that there is some ad policy that is preventing internet Explorer to work with SSO authentication. It is a new customer for us. i have installed a vm into our test env, joined to domain and trasparent is working like a charm(adding url to intranet site). 
    With this customer, it does not. Utm is joined to domain, is pingable by name from pc. The strange Think? If I open packet filtering live log I see blocked traffic from pc to utm on port 80. 
    At the moment they have Cyberoam 200i as dg. In a pc test, i have changed dg to astaro ip. 
    I receive" unable to dispay web page", but into web live log I see traffic passed with user = "". 
    Any advice?
    I will try to create an OU, with blocked inherited policy, move test pc and try again to see what' s happen. 
    Luk
  • 0
    Here web live log:


    2014:04:15-21:35:14 firewall httpproxy[26845]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="POST" srcip="192.10.10.1" dstip="" user="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFBlockAction (Default content filter block action)" size="3654" request="0xecbd320" url="safebrowsing.clients.google.com/.../downloads
    2014:04:15-21:35:19 firewall httpproxy[26845]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.10.10.1" dstip="54.216.8.149" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_HttCffNo****o (Categorie Bloccate Filter Action)" size="2" request="0x9760440" url="http.00.s.sophosxl.net/.../" exceptions="av,auth,content,url,ssl,certcheck,certdate,mime,fileextension,size" error="" authtime="0" dnstime="33814" cattime="0" avscantime="0" fullreqtime="143558" device="1" auth="2"
    2014:04:15-21:35:20 firewall httpproxy[26845]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.10.10.1" dstip="54.216.8.149" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_HttCffNo****o (Categorie Bloccate Filter Action)" size="2" request="0x9760440" url="http.00.s.sophosxl.net/.../" exceptions="av,auth,content,url,ssl,certcheck,certdate,mime,fileextension,size" error="" authtime="0" dnstime="0" cattime="0" avscantime="0" fullreqtime="55434" device="1" auth="2"
    2014:04:15-21:35:20 firewall httpproxy[26845]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.10.10.1" dstip="54.216.8.149" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_HttCffNo****o (Categorie Bloccate Filter Action)" size="11" request="0x9760440" url="http.00.s.sophosxl.net/.../" exceptions="av,auth,content,url,ssl,certcheck,certdate,mime,fileextension,size" error="" authtime="0" dnstime="0" cattime="0" avscantime="0" fullreqtime="56763" device="1" auth="2"
  • 0 in reply to lferrara
    Thank you Michael for your answer. I Think that there is some ad policy that is preventing internet Explorer to work with SSO authentication. It is a new customer for us. i have installed a vm into our test env, joined to domain and trasparent is working like a charm(adding url to intranet site). 
    With this customer, it does not. Utm is joined to domain, is pingable by name from pc. The strange Think? If I open packet filtering live log I see blocked traffic from pc to utm on port 80. 
    At the moment they have Cyberoam 200i as dg. In a pc test, i have changed dg to astaro ip. 
    I receive" unable to dispay web page", but into web live log I see traffic passed with user = "". 
    Any advice?
    I will try to create an OU, with blocked inherited policy, move test pc and try again to see what' s happen. 
    Luk


    have you started a ticket with support on this as well?
  • 0
    Thank you William. I have checked that no policy are applied to test pc, but still no luck. 
    I will contact Support. Anyone else has other idea? 
    Thank you.
    Luk
  • 0
    I don't think this works with WAF enabled?
  • 0
    Iferrara, the logs suggest you are using an Endpoint that is configured with SEC and/or SWA?

    In order to test the UTM and authentication, please use a computer that does not have Endpoint installed.

    This is the only real log line, I'll trim to the relevant parts:
    action="block" 
    method="POST" 
    srcip="192.10.10.1" 
    statuscode="403" 
    profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" 
    filteraction="REF_DefaultHTTPCFFBlockAction (Default content filter block action)" 
    url="safebrowsing.clients.google.com/.../downloads
    device="1" 
    auth="2"

    This was a POST action that was on a Windows computer that should be doing AD SSO.  The interesting thing to me is that it did not fail because it could not authenticate.  It somehow got past authentication but has no user.  The lack of user caused it to hit the default content filter block action, what is most likely the Base Policy.

    On the Profile screen do you have the "Block on authentication failure" checked or unchecked?

    This must be checked if you want things to always force authentication.  If you have this unchecked (which allows unauthenticated users) then you must have Policies that apply to unauthenticated.



    jpcurrie, this currently does not work with WAF and the UTM prevents you from configuring the two together.  This might change in the future.
  • 0
    Thank you Michael. The check box is selected to force users to autenticate. No other profile is defined(fall back action is taken. I do not understand why the browser does not prompt me for credential and also why I see traffic from test pc to Fw on port 80. 
    Luk
  • 0
    packetfilter logs saying port 80 traffic is blocked might be an indication there are clients trying to use the proxy that are not in the "Allowed Networks" of the profile.

    If you turn off AD SSO (set to None) and just use Transparent mode does it work?  If basic transparent mode isn't working (eg you are getting parketfilter blocks) then there is no value in investigating AD SSO.

    The browser prompting for credentials is actually a good thing - that indicates that AD SSO is working.  There is a little bit of additional config on the browser to get rid of the pop-up.  Is the only issue that you are getting pop-ups?

    I am getting confused on exactly what the problem is here (may be my fault as I'm debugging multiple things).

    It is unclear whether you have transparent mode working.
    It is unclear whether you are using endpoints.
    It is unclear whether you have AD SSO working (with or without pop-ups).
    It is unclear whether you just have AD problems with groups.

    Each of these is a prerequisite on the next.  You started by saying (I think) that if you configure transparent AD SSO you get "no internet connection" but later you are saying you have login popups and are creating OUs in AD.  Can you start again and explain the current problems?

    Are you using Endpoint or not?  Is the endpoint configured with Web Control from the UTM?