Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 8395 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Authentication issues with Using Proxy via AD SSO Standard Mode

Philipp_IT
Hey people

I got a strange issue which I have for a longer time now.
It happens randomly and it fixes itself after some days.

Suddently some or only one user give me an feedback that all webpages are blocked by Sophos and when I take a look into the Proxy Live log I can see that these users aren´t recognized with username
2014:08:06-11:17:51 gw-1 httpproxy[6183]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="block" method="GET" srcip="192.168.xx.xx" dstip="xx.***.xx.***" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="278" request="0xe3634ee0" url="officeimg.vo.msecnd.net/.../file.aspx


I really don´t know what to do and why this happens.
Restarted the Client, deleting temp folders,...

My configuration:
UTM 220 Release 9.203-3:
Standard Authentication Mode with AD SSO. 
Additionally A WPAD File is configured in Sophos and the Clients using this:
function FindProxyForURL(url, host) {
 
   var proxy_yes = "PROXY 192.168.xx.x:8080";
   var proxy_no = "DIRECT";
   var proxy_failback = "PROXY 192.168.xx.x:8080; DIRECT";
    
   // Interne Webseiten
   if (shExpMatch(url,"*.domain.local/*")) {return proxy_no;}
 
   // Homenet
   if (isInNet(host, "192.168.xx.0", "255.255.252.0")) {
      return proxy_no;
   }
 
   return proxy_failback;
}


The other configuration is attached as picture.


Hope you can help me [:S][:O]

At the moment I changed the Base Policy to Default so all ppl can use the internet...


greets 
Philipp


This thread was automatically locked due to age.
  • 0
    Why do you have 3 Active Directory definitions, do you have several Active Directory forests ?
  • 0
    Yes one root domain and 2 childs like:

    domain.local
    sub1.domain.local
    sub2.sub1.domain.local
  • 0
    That is still one AD forest, so maybe the pass-through authentication between domain controllers is your problem.

    I am pretty sure that you don't need 3 rules, only one.

    Can you explain more order of the rules, which DC is in what ?
  • 0
    I attached the settings of the root AD domain.

    I added a availability group with both dc servers.

    I thought to create one rule per domain cause I cannot lookup users from child domain with the testtool from the root domain:
  • 0
    I haven't heard of this type of problem before.  Standard mode AD SSO has been pretty stable.

    The most likely cause is client side, however fully restarting the browser should resolve that.  Or try a different browser.

    I can think of a few things that would help debug the problem, narrow it down, but you would still need someone who could then take it to determining a resolution.

    I recommend talking to Support.

    Things you could try
    - Look at files in /var/log/.  Since you are shooting in the dark, I don't know which ones would be most likely to have something useful.
    - Run Wireshark on the Windows machine to dump the traffic.  That will tell you whether the browser is sending credentials.
    - Turn on debug logging in the proxy (support can do this) which should better explain why the proxy is not asking for credentials or not accepting them
  • 0
    Side note:
    In the browser, go into the password manager and make sure you have no saved passwords for the utm.
  • 0
    The KnowledgeBase article HTTP-S Proxy Access with AD-SSO is for V8.3, but all of the principles are the same.  My first thought is to use an FQDN for the PROXY, not a numeric IP.

    Cheers - Bob
  • 0
    Hey yeah I read about how to force using Kerberos for the authentication.
    I switched it yesterday in my WPAD file. I hope the issues came from NTLM.

    vilic said that i have to many ad server rules.
    Can sb. explain me how I can setup one rule for one AD forest with 1 root and 2 child domains?

    I dont think that is enough to use the domain.local path only to lookup users/groups in sub1.domain.local?
  • 0
    I am not 100% sure if it is possible in UTM world (it would be worth testing in the lab, and I will do it in a few days), but since all the domains are in the same AD forest there is automatic trust relationship between them.

    So, you joined UTM only to one domain and that DCs should be enough for authenticating users from the whole forest.

    I couldn't find anything official for that scenario, but have found an article that describes that UTM can authenticate multiforest AD environments with manually created external trusts:
    How to authenticate multiple AD domains via SSO when using Sophos UTM
  • 0
    The relationship should work already yes.
    I viewed the rules and the matter why I created one for every domain and it was because I need to create Groups with Backend membership(AD) for other rules and so I have to setup these 3 rules otherwise I cannot choose groups from all 3 domains.
    I cannot delete these rules.

    I hope it was NTLMs fault.
    Otherwise I forward all information to my supplier for creating a support ticket (only have standard support :-( )