Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 31 replies
  • Subscribers 1 subscriber
  • Views 21947 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

'Warned' websites getting 'Authentication Failed' for some users.

jpcurrie
Hi all,

We're using AD SSO with a fairly complex set of filter profiles and allow lists.

Setup:

1.  The profile in question is using standard mode, SSO and 'block access on auth failure', URL filtering only for SSL.

2.  I've deployed the UTM HTTPS CA via GPO

3.  The UTM hostname is resolvable internally to an internal IP address.

4.  The UTM is joined to the domain and has DNS request routing setup so it resolves our internal DNS correctly.

5.  The system time is correct and in sync with our DC's

6.  I've tried both hostname and IP address in the proxy settings


Problem:

Sometimes (I've been unable to find a pattern) when a user is warned, when they attempt to continue, they are presented with a block page saying "Authentication failed").

Has anyone came across this before?  Where could I start to further troubleshoot it?  I'm struggling to fix the issue as you can see!

Another note, I originally configured the 'Certificate for End-User Pages' option, setting it to use our wildcard cert, which entirely broke this process, upon turning it off, the unblock works mostly, but with the above auth bug. 

The bug seems random, with some users getting the auth block randomly

Cheers,

John.


This thread was automatically locked due to age.
  • 0 in reply to Michael Dunn
    We're not using SSO in transparent mode (as it won't work with reverse proxy.)

    Is Sophos aware of this problem in non-transparent SSO setups?  I went through the main support desk when originally troubleshooting.

    I have just confirmed - the fix for this is not in 9.203.  It will be in 9.204.

    skm - Warn is new functionality introduced in 9.2.  AD SSO in transparent mode is new functionality introduced in 9.2.  It appears that when both of these new functions are used together there is an authentication problem.  This problem was not reported by any users during the months long beta.

    9.2 is new and it is on staged release right now as we find and fix these types of issues.  You can choose not to use the new Warn functionality, or to do a workaround (hit the Warn/Proceed on http and then switch to https).  We are not forcing you to use non-secure methods.  We do ask for a little patience when a new version with hundreds of new features comes out.  Some people who are running systems that are sensitive to problems prefer to run on older versions and only upgrade after the majority of other people already have.
  • 0
    jpcurrie, AD SSO transparent mode and the reverse proxy work together, as of... 9.202 I think.

    I mispoke myself.  The Warn/Proceed and Authentication Failed is with Standard mode AD SSO.
  • 0 in reply to Michael Dunn
    jpcurrie, AD SSO transparent mode and the reverse proxy work together, as of... 9.202 I think.

    I mispoke myself.  The Warn/Proceed and Authentication Failed is with Standard mode AD SSO.


    That's interesting and potentially very helpful for us (SSO)
  • 0
    The SSO prompts the users for auth, even when they're authenticated on AD.  This can't be the desired functionality.

    I'll open another ticket when I have time....
  • 0
    jpcurrie, please read:
    How to Configure Active Directory (AD) Single SignOn (SSO) in Transparent Mode on Sophos UTM

    In short, the browser needs to trust that it can safely send credentials to a website that requests it.
  • 0
    Thank you, I read that article as well but missed that part for some reason!

    It seems to be working well.
  • 0
    Finally it works. I can confirm that in 204-19 version this problem does not occur.
  • 0
    Thanks for the heads-up, I've just installed it and will report back.
  • 0
    Well it's definitely better.  But I was booking train tickets yesterday (travel is confirm) and I got some strange time-outs/blocks on the HTTPS side.  I had to complete the booking on a machine with  separate and unblocked proxy access (squid) which worked fine.

    Also, I can't see it being mentioned in any release notes, so I assume that it hasn't really been fixed yet?
  • 0 in reply to jpcurrie
    [QUOTE=jpcurrie;270310] But I was booking train tickets yesterday (travel is confirm) and I got some strange time-outs/blocks on the HTTPS side. 
    QUOTE]


    Same here. I thought it is a problem with website but now I think it is Sophos.