Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 24 replies
  • Subscribers 1 subscriber
  • Views 15133 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM 9.2 transparent mode AD SSO

hage1
Profile is set for transparent mode, AD SSO authentication.  This should work with no proxy configuration on the clients.  However, if I don't configure the clients with IP of proxy server and port 8080, no internet connection.  If clients are configured with this proxy info, everything works fine.  Tech support said I needed to add the IP of the proxy server to trusted sites in the clients, but this made no difference.  Obviously transparent mode also scans port 8080.  It works, but it bothers me that it is not working as it is supposed to.  Anybody else run into this or have a solution?  Thanks.


This thread was automatically locked due to age.
  • 0
    Hi Michael,

    thank you for your help. Just to clarify:
    1. only 2 computers are connected behind astaro utm ad using transparent sso(we are going to swap cyberoam with astaro tomorrow(80 workstations, with no authentication initially).
    2. Both computer are not able to surf on internet in trasparent mode with sso(no prompt to insert username and password(maybe I did a mistake by typing from iPhone) but page is not displayed as you can see from Web live log)
    3. Computer has Sophos Endpoint as Antivirus connected to SEC Server with Web Filtering disabled
    4. The packets blocked into Packet filtering are from this test pc (192.10.10.105 to internal Firewall address on port 80)
    5. No Packet filtering rules with 80 and 443 are created. 
    6. If I use trasparent with none as authentication or browser, users can surf without problem.
    7. Into Web Filtering I added internal network as source.
    8. I did many Astaro installation with no issue and now it's the first time I am facing with trasparent mode with SSO(9.2 feature).

    I hope now it is clear!!!!
  • 0
    Can you please try this on a Windows computer that is having this problem (not a Mac or IPhone) that is running Firefox:

    Configure FF:
    Go to about:config
    Search for "uris".
    Make sure that the three values displayed are all blank (this forces a popup rather than automatic login to a trusted uri).
    Make sure you do not have a proxy configured.

    Configure UTM:
    If you have multiple profiles, disable all the other profiles to make sure you are hitting what your think you are.
    Allowed Networks includes the IP addresses of the computer you are testing.
    Operation Mode is Transparent.
    There is no Device-specific authentication.
    HTTPS scanning is set to URL Filtering Only

    Set Default Authentication to None.
    Make sure the Computer can browse the internet.
    Navigate to http://fqdn-of-your-utm/
    It should sit there loading forever.
    After a while it will time out.
    The packetfilter.log should say there were port 80 packets that were blocked.


    Set Default Authententication to AD SSO.
    Navigate to http://fqdn-of-your-utm/
    It should do a username/password pop-up
  • 0 in reply to Michael Dunn
    Thank you Michael.

    I have tried you suggestions but no pop-up appears. I have opened a ticket with Sophos to find out what is the problem.

    I will update the post.

    Thank you all.

    Luk
  • 0
    Was there any resolution on this?

    I can browse in transparent mode, but with AD SSO turned on, I don't get a popup on my browser and user="" appears in the logs.

    I also get this error:
    While trying to retrieve the URL:http://per.micromine.com/auth?u=aHR0cAovL3e3dy50RXN4LmNvbS8= The content could not be delivered due to the following condition:Connection refused Your cache administrator is:blah@blah.com

    If I look at the logs, I see this:
    name="web request blocked" action="block" method="GET" srcip="y.y.y.y" dstip="x.x.x.x" user="" statuscode="502"

    Now y.y.y.y is my workstations IP address.  x.x.x.x however is the EXTERNAL IP of the firewall.  Why would internal trying to be accessing internal?  Should it not be the INTERNAL IP of the firewall?

    per.micromine.com resolves internally to the internal IP of the firewall.  It is also listed in "Trusted Sites" in my browser.  It is set as the Hostname on the firewall.

    Another thing I noted whilst investigating, I found these static host entries, they appear to have been auto created by the firewall.  However the IP addresses have no association to any of our networks globally.  Where have they come from?

    passthrough.proxy.micromine.com 213.144.15.19
    DNS Hostnames:
    passthrough.proxy.micromine.com
     
    View
    passthrough6.proxy.micromine.com 2a01:198:200:680::8080
    DNS Hostnames:
    passthrough6.proxy.micromine.com
  • 0
    I made a change and I seem to have got rid of the external IP appearing in the log.  However, I now get a new error:


    While trying to retrieve the URL:
    http://per.micromine.com/auth?u=aHR3cDovR233bmNfgb3VkLm9yZy8=
    The content could not be delivered due to the following condition:
    Cannot assign requested address

    Any idea what that means?
  • 0
    Hi All, 

    I still have issue with trasparent SSO. 
    Opened a ticket with Sophos they are investigating what is wrong. 

    I will post fixes as soon the problem is fixed.

    Luk
  • 0
    Simon, it sounds like you are using the "Certificate for End User Pages" feature.  Please read the help topic on that feature.  That should explain the passthrough stuff.

    One of the things that feature does is change the hostname of the utm for the purposes of displaying certain content (so that the hostname falls under your cert).

    Off the top of my head I'm not sure what is wrong.  You can try not use the certificate and see if that helps.  Even if that gets it working, please follow up with support as it feels like there may be a problem.
  • 0
    I installed the sophos utm client auth cert, added sophos utm fqdn to trusted sites in IE, and set security for trusted sites to low now it works.
  • 0
    Well it times out on some computers when initial page is https, others are fine though. If it times out then load a http page and it works fine including https pages. Strange behaviour.
  • 0
    cjc, I assume you are using 9.201 with AD SSO in Transparent Mode.

    Authentication is not performed on HTTPS requests.  Therefore if the first request is HTTPS, it should use the "last known" user from that IP.

    Unless you are doing things like changing IPs or restarting the proxy (which loses the last known user) in theory it should just work.