Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 2074 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Proxy profile not using user group membership on policies.

hckeith
Hi All,

(Using Firmware 9.201-25)

I seem to be running into problems again with the proxy profile filter.  Having taken the advice on this thread, I reconfigured my profiles and thought it was all working fine.
However, after some testing, it appears that the user group a user is a member of is not being used by the filter.

Here's my scenario:

I have two AD backend users, each a member of separate AD backend groups.  User 1 is 'John.Smith', and he is a member of group S.CustomerService (tested in Role1.png).  The second user is me Keith.Oakley, and am a member of S.IT (tested in Role2.png).

Based on the advice in my other thread, I have created a single filter profile to be applied to all of our internal networks (profiles.png).  This active filter profile has several policies in it for each of our departments (Policies.png).  These policies apply to a specific user group (there are ones there for S.IT and S.CustomerService).

What I'm seeing though, is that whatever policy is at number 2 in the list of policies is applying to both users.  Our S.CustomerService policy should be blocking youtube as a test, but user John.Smith (a member of S.CustomerService) is getting the S.IT policy applied to him, even though he isn't a member of that user group (see policy test image 'Test John Smith.png'), and is being allowed to browse to youtube.

If I move the S.Ecommerce policy to position2, then that policy is being applied to both users, again neither user is a member of the S.Ecommerce user group (see policy test images 'Test john Smith2.png' and 'Test Keith Oakley.png').

This behavior doesn't seem to follow the explanation given to me of how the web proxy policy filter operates.  My understanding is that the source network is used first to match a proxy profile (all internal networks), then the profile goes through the policy list top to bottom and then matches the first policy the user is a member of (in this case a user group a user is a member of).

Strange that the policy at position 1 (S.Despatch) that only has users in it, not user groups, isn't being matched first.  It's always whatever policy is at position 2 that's using groups that is matched.

Have I possibly got the configuration wrong somewhere? Could something be overriding the policies I've set?  Have I even discovered a bug?

Any help anyone could offer on this matter would be greatly appreciated!

Thanks [:)]


This thread was automatically locked due to age.
Policies.zip
Parents
  • 0
    HC, I don't yet trust 9.2 enough to recommend that any of my clients Up2Date to any version of it yet, so I wouldn't be surprised to learn that there was another "undocumented feature." [;)]

    In the future, please attach the pictures separately instead of in a zip where it's difficult to manage shifting between images without cluttering the display.  It's not clear what image relates to which user.

    Your description of how things work is correct.  In order for the policy to select them, the individual user accounts in S.Dispatch must be objects synced from AD instead of Local accounts, but I wouldn't do that in AD-SSO.  See #6 in Rulz.

    Please show a line from the Web Filtering log file demonstrating that an incorrect policy was applied to an attempted access.

    Cheers - Bob
Reply
  • 0
    HC, I don't yet trust 9.2 enough to recommend that any of my clients Up2Date to any version of it yet, so I wouldn't be surprised to learn that there was another "undocumented feature." [;)]

    In the future, please attach the pictures separately instead of in a zip where it's difficult to manage shifting between images without cluttering the display.  It's not clear what image relates to which user.

    Your description of how things work is correct.  In order for the policy to select them, the individual user accounts in S.Dispatch must be objects synced from AD instead of Local accounts, but I wouldn't do that in AD-SSO.  See #6 in Rulz.

    Please show a line from the Web Filtering log file demonstrating that an incorrect policy was applied to an attempted access.

    Cheers - Bob
Children
No Data