Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 1903 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Agent works, SSO does not

lbiw
Prior to updating to 9.x we used the Astaro Authentication Agent for web filtering.  Even after upgrading to 9.x we continue to use the AAA, but want to look at implementing AD SSO Authentication.

Our ASG120 has a FQDN of vpn.domain.com and an internal nslookup reports vpn.domain.local

I have followed the steps listed in the whitepaper, but cannot get the SSO to authenticate.

How can I troubleshoot where it is failing?

Currently we are on release 9.201-23

Thanks for the assistance.


This thread was automatically locked due to age.
  • 0
    We are always given the Access Denied, Authentication Failed page.
  • 0
    Is the windows computer logged in with a domain user?
    Are you getting any browser pop-ups?

    Have you configured the browser (IE and FF have different configurations) to put the UTM FQDN into the Local Intranet?

    Have you tried on different browsers?

    Is there anything in the /var/log/http.log file when you do this?
  • 0
    The Windows user IS logged into the domain, there were no browser pop-ups when trying to access a site.

    I have configured IE to have the FQDN listed in the intranet sites

    I have not tried different browsers.


    I am unable to ping the FQDN, but i can ping by IP, and nslookup gives the FQDN.
  • 0
    To allow ping:
    Network Protection, Firewall, ICMP
    However it should work the same for both IP and FQDN, assuming you resolve correctly

    Lets just make sure things are "plugged in".
    Definitions and Users, Authentication Services, Single Sign On is configured
    How many Profiles do you have?  Are you sure you are hitting the one you intend to?
    Is the profile configured for Standard or Transparent mode?
    Does the profile have default authentication set to AD SSO?
    If you go to Policy Test and enter in the appropriate source IP and username, does it work?
    Are you visiting an HTTP site (not HTTPS)?

    If it is still not working I would contact Support.  If you still want to debug on your own I would use wireshark to determine what is actually occurring on the pipe.
  • 0
    Thank you for the extensive reply.

    Firewall, ICMP all set to allow ping, but still cannot hit the FQDN, only by IP address.  This must mean that DNS is not resolving to the UTM.
    I have a A record for the UTM, and the FQDN is displayed when I tracert to the IP, but cant hit the FQDN.

    SSO is configured, and the user I am testing with are among the Allowed Users and Groups.

    Attached is the result of my test for a user's IP that does not work on the actual machine.
  • 0
    ***UPDATE***

    I am now able to get the login/credentials box in IE.  However authentication always fails.
  • 0
    lbiw, although Configuring HTTP/HTTPS proxy access with AD SSO with a Sophos UTM hasn't been updated for the change in the web interface, the principles are all the same.  The document is written for Standard mode.  I would have the default policy in Transparent mode and no authentication.  If a user doesn't authenticate, a stricter "Guest" policy is applied.

    Did that help you find your error?

    Cheers - Bob
  • 0
    after further testing, android devices can log in and authenticate, but IE8 and Blackberry10 (non BES) cannot.

    IE8 client credentials not accepted

    Blackberry10 - straight to the Authentication failed page, no chance to log in.
  • 0
    Ibiw, I think that trying to solve this in the forum might not be the easiest thing, we'd have to see and understand your configuration a lot more than we do now.

    I would contact Sophos Support.  They can work work with you and your specific setup better.
  • 0
    I do have a support contract and will contact to resolve this issue.

    Thanks to BA and MD for their assistance.