Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 31 replies
  • Subscribers 1 subscriber
  • Views 21936 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

'Warned' websites getting 'Authentication Failed' for some users.

jpcurrie
Hi all,

We're using AD SSO with a fairly complex set of filter profiles and allow lists.

Setup:

1.  The profile in question is using standard mode, SSO and 'block access on auth failure', URL filtering only for SSL.

2.  I've deployed the UTM HTTPS CA via GPO

3.  The UTM hostname is resolvable internally to an internal IP address.

4.  The UTM is joined to the domain and has DNS request routing setup so it resolves our internal DNS correctly.

5.  The system time is correct and in sync with our DC's

6.  I've tried both hostname and IP address in the proxy settings


Problem:

Sometimes (I've been unable to find a pattern) when a user is warned, when they attempt to continue, they are presented with a block page saying "Authentication failed").

Has anyone came across this before?  Where could I start to further troubleshoot it?  I'm struggling to fix the issue as you can see!

Another note, I originally configured the 'Certificate for End-User Pages' option, setting it to use our wildcard cert, which entirely broke this process, upon turning it off, the unblock works mostly, but with the above auth bug. 

The bug seems random, with some users getting the auth block randomly

Cheers,

John.


This thread was automatically locked due to age.
  • 0
    Just an update, this is a product defect and will be fixed in a future release (let's hope!)

    MANTIS 31573
  • 0
    Yes that is correct.  Planned for 9.203, no timeline on when that is.
  • 0
    Thanks Michael,

    We look forward to this being fixed!

    John.
  • 0
    Is that already fixed? I have the same problem here.
  • 0
    I'm just back from holiday and see that 9.203 has been released.

    I'll test and report back this week, hopefully it will be fixed.
  • 0
    I doubt...

    I'm on 203-3 and this problem still occur. Can someone from SOPHOS confirm, that this problem is fixed?
  • 0 in reply to skm
    I doubt...

    I'm on 203-3 and this problem still occur. Can someone from SOPHOS confirm, that this problem is fixed?


    Well that sucks!  I couldn't see it mentioned in the notes either.
  • 0
    It occurs very often for https links and when I try the same link with http then it works, however it is redirected to https.

    What kind of security is that? Now I need to tell the user that he should open link in http instead of https because othwerise it doesnt work. He will remember that and will try to open every link in http when something goes wrong. What kind of security device enforce me to do something like that? SOPHOS what you doing there? How could such kind of  BUG so long survive? This is my first and last device from SOPHOS and in future I will never EVER recommend SOPHOS UTM.
  • 0
    I have just confirmed - the fix for this is not in 9.203.  It will be in 9.204.

    skm - Warn is new functionality introduced in 9.2.  AD SSO in transparent mode is new functionality introduced in 9.2.  It appears that when both of these new functions are used together there is an authentication problem.  This problem was not reported by any users during the months long beta.

    9.2 is new and it is on staged release right now as we find and fix these types of issues.  You can choose not to use the new Warn functionality, or to do a workaround (hit the Warn/Proceed on http and then switch to https).  We are not forcing you to use non-secure methods.  We do ask for a little patience when a new version with hundreds of new features comes out.  Some people who are running systems that are sensitive to problems prefer to run on older versions and only upgrade after the majority of other people already have.
  • 0
    We are not using Proxy in Transparent mode because in conjunction with AD SSO it makes so many problems that it is useless. And now we have problem with AD SSO with standard proxy and it is also getting to be useless. I'm really pissed here now because I have to implement that device for circa 2000 users.

    Instead of hundreds new features that doesnt work I would like to have one feature that is crucial for many corporations today and it works. I can even adjust it by myself when it doesnt work "out form the box" but when I adjust almost everything, even that what I should not adjust and despite that it doesnt work then please dont expect patience from me.