Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 1639 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Policy Issue when using Agent Authentication

jdobiash
We are messing around with having a few specific machines using the Agent Authentication.   I accomplished this by creating a Network Group Object that has just those specific machines in it and then creating a Profile that applies only to those machines.  The profile seems to work, however it doesn't appear to process any of the policies within it, except for the base profile.  We have a policy that is supposed to be applied if the user is a member of a group and give them a different filter.  This works when using AD SSO authentication.   It even says it should work when I put everything into the 'Policy Test" tab, but the logs still show the default policy being applied.

Any thoughts?   Below is an entry from the log and the screenshot from the policy test.

--------------------------
2014:08:04-11:51:52 utm-1 httpproxy[15900]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="10.0.10.113" dstip="23.209.26.231" user="testuser" statuscode="200" cached="0" profile="REF_HttProContaInterNetwo4 (Agent Authentication)" filteraction="REF_DefaultHTTPCFFAction (Global Web Filter)" size="15228" request="0xb04e7320" url="www.msnbc.com" exceptions="" error="" authtime="3" dnstime="1144522" cattime="32129" avscantime="47016" fullreqtime="1266090" device="0" auth="6" category="134" reputation="neutral" categoryname="General News" content-type="text/html" application="http"
---------------------------


This thread was automatically locked due to age.
  • 0
    So if I make a policy that applies to the entire "Active Directory Users" group, then it works.  It's not working when it only applies to a specific group.   If I add the user directly on the UTM (linked to AD) that works too, but that's really not a viable option.  What's the point of having the ability to use AD if it's not going to work for group memberships?  

    Again, this all works with AD SSO authentication.
  • 0
    Jack, please click on [Go Advanced] and attach a picture of the Edit of the Policy that you had expected to be applied.

    Cheers - Bob
  • 0
    Here are the policies that are attached to the "Agent Authenticaton" Profile.  The "IS Staff" group is tied to an AD group.
  • 0
    Agent Authentication is not my area of expertise, but if the groups are applied in AD SSO authentication mode then they should also be applied in Agent authentication mode.

    However as far as I know you cannot mix-and-match.  You cannot have most things on AD SSO and "having a few specific machines using the Agent Authentication" unless they are separated onto a separate Profile with the appropriate Authentication method selected.
  • 0
    They are seperated into two profiles.  One profile is the "Agent Authentication" and it is scoped with only a few machines, the other is the regular Default Profile with AD SSO, which is scoped for the rest of the organization.    The correct profile is being selected, just not the correct policy.   It just doesn't seem to like AD groups, if I add the user to the UTM (linked to AD) and to the rule then it works.    The same policy exists in both profiles - it works in the AD SSO profile, but not in the Agent Authentication profile.   ALSO, the 'Policy Test' shows the correct result as well, but for some reason when the user is being authenticated by the Agent, it's somehow handling the credentials differently than it is when being authenticated via AD SSO.
  • 0
    It doesn't sound like a simple misconfiguration.  Please contact Support.
  • 0
    Michael, I think Agent Auth doesn't work without a Local or Synced user object.

    If a Backend AD group can be used with synced user objects, that's news to me.   Are you confirming that that works, Jack?

    Cheers - Bob
    PS The other thing I don't understand, Jack, is why you can't just use AD-SSO.  Personally, I would put more energy into getting to AD-SSO in Standard mode instead of Transparent.  What was the reason for this exercise?
  • 0
    Bob, I don't know much about Agent.  Simple regression tests here pass.
    I do know that the method that AD SSO uses and that AUA uses (eg anything not SSO) is quite different.

    You *could* try switching from Agent to Browser authentication and see if that works.  If it also doesn't do group membership then it is a AUA problem (and more likely related to the UTM to AD server connection).

    Also, make sure that under Authentication Services \ Servers the AD server is correctly specified, that a Base DN is used.  Test a user there and see if it comes back with the correct group membership.