Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 16169 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Web Protection Authentication Timeout

ntoupin
I'm currently using AD SSO backend sync (Web protection/filter in transparent mode).  I have clients of our devices (Windows, Mac, Android) as well as many guest devices (iPhones, iPads, etc.).

Due to this I set the authentication timeout to be 8 hours so users would basically authenticate once a day on their devices (if they aren't on our device the UTM is popping up with a sign-in pop up or window in their browser just as it should).

The issue I'm currently having is we have Chromebooks internally, these cannot pickup the AD SSO like our windows machines, however the "browser" authentication mode works great for them (Device-specific authentication -> Linux).  

The only issue with this is that the chromebook users, since they are being prompt via the browser login, are basically logging in once per device per day -- even if the chromebook user changes: User A is the first user to use chromebook 1 today, they get the prompt and authenticate. User B goes to use chromebook and isn't prompt due to the session still being within the 8-hour window according the firewall and therefore is authenticated as if they were user A.


So ultimately my questions are:
- It doesn't look like there is any way to specific a authentication session timeout per filter policy, profile, or device type - is this true?
- Due to the above would my only option be to set all authentication timeouts to be X amount of time so the chromebooks would need to authenticate per user due to session time? 
- Has anyone else encountered this or something similar and found a good resolution?


This thread was automatically locked due to age.
  • 0
    - It doesn't look like there is any way to specific a authentication session timeout per filter policy, profile, or device type - is this true?
    - Due to the above would my only option be to set all authentication timeouts to be X amount of time so the chromebooks would need to authenticate per user due to session time?

    There's only one place where this can be set and you've discovered why the default is 900 seconds.  There's no good way to deal with devices that are used by different people.

    Cheers - Bob
  • 0
    When you log in via Browser auth it should pop up a new tab (sometimes blocked by your pop up blocker).

    The (screwy but we cant change it because some customers rely on it) logic is:
    - While the pop-up is open the user is logged in
    - After the pop-up is closed they have until auth timeout while still considered logged on

    Then what you do is make sure that pop-ups are always allowed, set your timeout to two minutes.

    Chromebook user logs in, popup appears in new tab.  As long as they keep that tab open they are fine.  When the user logs off the tab is closed and the UTM now thinks no user it logged in.  Next person comes in and starts again.  If anyone ever closes the tab they'll find themselves logged out after 2 minutes (negative reinforcement will teach them not to).

    This is assuming that Chromebook doesn't do some screwy multi-user thing and keep users running even in background.
  • 0 in reply to Michael Dunn
    When you log in via Browser auth it should pop up a new tab (sometimes blocked by your pop up blocker).

    The (screwy but we cant change it because some customers rely on it) logic is:
    - While the pop-up is open the user is logged in
    - After the pop-up is closed they have until auth timeout while still considered logged on

    Then what you do is make sure that pop-ups are always allowed, set your timeout to two minutes.

    Chromebook user logs in, popup appears in new tab.  As long as they keep that tab open they are fine.  When the user logs off the tab is closed and the UTM now thinks no user it logged in.  Next person comes in and starts again.  If anyone ever closes the tab they'll find themselves logged out after 2 minutes (negative reinforcement will teach them not to).

    This is assuming that Chromebook doesn't do some screwy multi-user thing and keep users running even in background.


    If we could have a separate timeout for specific profiles then I could do that.  Unfortunately with only one setting I cannot as setting the timeout to 2 minutes would cause all mobile users (phones, tablets, etc.) to authenticate very frequently and be difficult for our users to use.
  • 0

    Are there Any updates?

    We Need it also to Change the Timeout to 8h in another webprofile, because we have a lanprofile (where pooling Notebooks used) and there is Need a timeout of 900sec and a wirelessprofile (seperate Network) for 8h.

  • 0 in reply to x.cr3w

    It's not possible.  Why do you want 8h?

    Cheers - Bob

  • 0 in reply to BAlfson

    To enter only once per day username + password

  • 0 in reply to x.cr3w

    Why do you want the Username?  Do you have policies based on username?  Have you considered using the Sophos Authentication Agent?

    Cheers - Bob

  • 0 in reply to BAlfson

    yes, and its needed because its a school.

    saa is no option, because there are smartphones too.

  • 0 in reply to x.cr3w

    I see.  You're right.  There's only a single aua_timeout and no way to have multiple choices.

    Could you do the employee devices with AD-SSO and just have the students use Transparent with Browser Authentication?

    Cheers - Bob

  • 0 in reply to BAlfson

    I've configured the browser variant. but after 900sec no surfing there will be the timeout. i configured it now with another way.

    deactivatet authentication for the wireless lan for the byod, implemented an hotspot with backend auth and set the authenticationperiode for 24h. the only one problem is, that i cant difference the userpolicys for surfing, but in this scenario isn't a problem .)

     

    greetings