Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 1 subscriber
  • Views 7695 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Banging my head.. no user or ad domain in logs

RobertGrabowski
First.. sorry for the War & Peace

I've searched these forums and think I have followed almost every document known to man to try to get authentication working to show in the logs on the UTM, but in the Web Filtering live log, i still see:

name="http access" action="pass" method="CONNECT" srcip="192.168.0.38" dstip="can be any IP" user="" ad_domain=""

What I've done and know:

1) In Authentication Services/Single Sign On/ I can join the domain just fine
2) Authentication Services for AD is good to go, testing of Bind DN with Admin account works and so does querying users with Base DN (Shows domain user(s) and member of the group I created in UTM)
3) I've tried BOTH Standard Mode, putting the proxy address/port in a few different browsers, no luck showing user names or domain. Transparent mode with Proxy configuration removed from browsers does not show user name or AD either. (Default authentication mode is set to Active Directory SSO)

With the above, what I'm not sure is if the notice in red has something to do with the authentication issues and no name or domain showing in the log:


Any thoughts?


This thread was automatically locked due to age.
  • 0
    That's because you ahve to have some kind of authentication going through the UTM simply joining the domain ins';t enough.  YOu need to either instlal the sophos autnetication agent or use http proxy in either ad sso mode(so users will be forced to auth when they surf) or transparent mode with authentication(same thing).
  • 0 in reply to William Warren
    That's because you ahve to have some kind of authentication going through the UTM simply joining the domain ins';t enough.  YOu need to either instlal the sophos autnetication agent or use http proxy in either ad sso mode(so users will be forced to auth when they surf) or transparent mode with authentication(same thing).


    William...

    I have the authentication mode set to Active Directory SSO. Regardless of whether I use transparent with no proxy config in the browser or standard mode with a proxy configured, user name and ad_domain still show as blank. Was this the authentication you were referring to?
  • 0
    two things..since you have device specific authentication checked you ahve to define the device and it's authentication credentials.  Also with block upon authentication failure NOT on you are effectivly bypassing your authentication.
  • 0 in reply to William Warren
    two things..since you have device specific authentication checked you ahve to define the device and it's authentication credentials.  Also with block upon authentication failure NOT on you are effectivly bypassing your authentication.


    First off.. thanks for the help on this.

    Secondly.. I've changed all the configurations you mentioned, but still no luck with user name/ad showing in live log. I may have to unfortunately start over from scratch on this one as no matter what I try it still doesn't seem to work.
  • 0 in reply to RobertGrabowski
    First off.. thanks for the help on this.

    Secondly.. I've changed all the configurations you mentioned, but still no luck with user name/ad showing in live log. I may have to unfortunately start over from scratch on this one as no matter what I try it still doesn't seem to work.


    I would use the sophos authentication agent then.  It is what i use..[:)]
  • 0 in reply to William Warren
    I would use the sophos authentication agent then.  It is what i use..[[:)]]


    Before I give up on this [[:)]] Could it be related to the notification I get i attached in the first screen shot showing "the client authentication certificate needs certificate objects"? Any time I try to add "allowed Users and Groups" in Client Authentication, that's what's displayed. Do I need to check in a certificate from Sophos into the browser or AD? For reference I have a group a Group called 'same as AD Group Name" which is uses 'backend membership' with the backend being 'Active Directory'. I can browse AD to add the AD Groups which are domain users.

    Just a thought
  • 0
    Please post a sample log line.

    My two most likely guesses:

    Do you perhaps have another Profile created?  Your screenshot is for the Default Web Filter Profile.  If you have another profile it may be hitting that first (and following the authentication rules of that one).

    Do you perhaps have an exception that you are hitting that is causing it to skip authentication?
  • 0 in reply to Michael Dunn
    Please post a sample log line.

    My two most likely guesses:

    Do you perhaps have another Profile created?  Your screenshot is for the Default Web Filter Profile.  If you have another profile it may be hitting that first (and following the authentication rules of that one).

    Do you perhaps have an exception that you are hitting that is causing it to skip authentication?


    For now, I'm running a very basic web filtering policy, just the one. The only thing that comes to mind is as if my policy is configured for HTTPS scanning, hence the red message stating 'The client authentication certificate needs certificate objects.' in Client Users and Groups when tried to add my 'allowed users and groups' which does a backend sync of AD users. I don't have HTTPS scanning enabled, but just a thought.
  • 0
    The "Client Authentication" menu under Definitions and Users is for downloading and using the Sophos Authentication Agent.  If you are trying to do AD SSO, it is not involved and does not need to be configured.

    Again....  how about a line from the log?
  • 0 in reply to Michael Dunn
    The "Client Authentication" menu under Definitions and Users is for downloading and using the Sophos Authentication Agent.  If you are trying to do AD SSO, it is not involved and does not need to be configured.

    Again....  how about a line from the log?



    2015:02:04-10:45:51 sophos httpproxy[28230]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="192.168.0.38" dstip="12.129.199.102" user="" ad_domain="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="8829" request="0xe5812000" url="https://amch.questionmarket.com/" referer="" error="" authtime="0" dnstime="12798" cattime="0" avscantime="0" fullreqtime="356783" device="0" auth="2" ua="Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/40.0.2214.94 Safari/537.36" exceptions="av,auth,content,url,ssl,certcheck,certdate,mime,fileextension,size,patience"