Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 31 replies
  • Subscribers 1 subscriber
  • Views 21936 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

'Warned' websites getting 'Authentication Failed' for some users.

jpcurrie
Hi all,

We're using AD SSO with a fairly complex set of filter profiles and allow lists.

Setup:

1.  The profile in question is using standard mode, SSO and 'block access on auth failure', URL filtering only for SSL.

2.  I've deployed the UTM HTTPS CA via GPO

3.  The UTM hostname is resolvable internally to an internal IP address.

4.  The UTM is joined to the domain and has DNS request routing setup so it resolves our internal DNS correctly.

5.  The system time is correct and in sync with our DC's

6.  I've tried both hostname and IP address in the proxy settings


Problem:

Sometimes (I've been unable to find a pattern) when a user is warned, when they attempt to continue, they are presented with a block page saying "Authentication failed").

Has anyone came across this before?  Where could I start to further troubleshoot it?  I'm struggling to fix the issue as you can see!

Another note, I originally configured the 'Certificate for End-User Pages' option, setting it to use our wildcard cert, which entirely broke this process, upon turning it off, the unblock works mostly, but with the above auth bug. 

The bug seems random, with some users getting the auth block randomly

Cheers,

John.


This thread was automatically locked due to age.
Parents
  • 0
    Hi John,

    When doing AD SSO in standard mode every request is authenticated.  There may be something funny going on with the Warn / Proceed that is causing the credentials to not be sent across correctly.

    I suspect that this will require packet inspection to figure out what is actually going on.

    Please raise an issue with support.
Reply
  • 0
    Hi John,

    When doing AD SSO in standard mode every request is authenticated.  There may be something funny going on with the Warn / Proceed that is causing the credentials to not be sent across correctly.

    I suspect that this will require packet inspection to figure out what is actually going on.

    Please raise an issue with support.
Children
  • 0 in reply to Michael Dunn
    Hi,
    sometimes the authentication failure is caused by the link taking too long to download which might explain the random nature of the issue?

    Do you have heavy ftp or a webserver that uses large bandwidth at odd times?

    Ian


    Nothing that I can think of, it doesn't seem related to bandwidth/time of day.

    Hi John,

    When doing AD SSO in standard mode every request is authenticated.  There may be something funny going on with the Warn / Proceed that is causing the credentials to not be sent across correctly.

    I suspect that this will require packet inspection to figure out what is actually going on.

    Please raise an issue with support.


    It's a difficult one as I can't reproduce it reliably?