Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 16191 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Different credentials for form and backend authentication

Hallowach2
Hi all,

I want to publish a Microsoft Reporting Services Server with WAF (9.209). I want to use form based frontend authentication and basic backend auth. That works as long as the frontend user (it is a local utm user) has the same credential as the backend user (thats an ad user).

Now I want to have the frontend user to have different credentials (rsa otp token) than the backend user. It would be accepted that the user has to type in two different credentials. The problem is that as soon the credentials are different the backend server keeps prompting for credentials and it seems like the given credentials never reach the backend server.

Did someone tried something like this successfully and if yes - how?

Regards
Manfred


This thread was automatically locked due to age.
Parents
  • 0
    Today I've looked a little deeper into this Problem. 

    First of all - we have a requirement to use two-factor-authentication for external accesses (as far as possible) - so using ad accounts is not an option.

    If the backend mode is set to none or if the frontend credentials do not match the backend credentials, it seems that the secondly given credentials (for the backend) isn't passed to the backend server. The waf-log says:
    2014:11:28-14:56:55 verw-asg320-01-1 reverseproxy: [Fri Nov 28 14:56:55.739840 2014] [security2:error] [pid 15550:tid 3962952560] [client 192.168.130.24] ModSecurity: Access allowed (phase 1). Operator GT matched 0 at ENV. [file "/usr/apache/conf/waf/base.conf"] [line "18"] [id "900000"] [hostname "lalala.blablab.de"] [uri "/Reports/Pages/Report.aspx"] [unique_id "VHh-J6wXBAEAADy@REQAAAAU"]
     and the webservers logfile sees the request but without a user passed.

    The '(phase 1)' thing makes me believe, that the login form just forwards the first given credentials and the second given are stripped.

    Hm - if 9.3 would not be that buggy I would try that version, but for now it's to hot for us to go to that version.

    Regards
    Manfred
Reply
  • 0
    Today I've looked a little deeper into this Problem. 

    First of all - we have a requirement to use two-factor-authentication for external accesses (as far as possible) - so using ad accounts is not an option.

    If the backend mode is set to none or if the frontend credentials do not match the backend credentials, it seems that the secondly given credentials (for the backend) isn't passed to the backend server. The waf-log says:
    2014:11:28-14:56:55 verw-asg320-01-1 reverseproxy: [Fri Nov 28 14:56:55.739840 2014] [security2:error] [pid 15550:tid 3962952560] [client 192.168.130.24] ModSecurity: Access allowed (phase 1). Operator GT matched 0 at ENV. [file "/usr/apache/conf/waf/base.conf"] [line "18"] [id "900000"] [hostname "lalala.blablab.de"] [uri "/Reports/Pages/Report.aspx"] [unique_id "VHh-J6wXBAEAADy@REQAAAAU"]
     and the webservers logfile sees the request but without a user passed.

    The '(phase 1)' thing makes me believe, that the login form just forwards the first given credentials and the second given are stripped.

    Hm - if 9.3 would not be that buggy I would try that version, but for now it's to hot for us to go to that version.

    Regards
    Manfred
Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?