Thread Info
  • State Not Answered
  • Replies 2 replies
  • Subscribers 0 subscribers
  • Views 1465 views
  • Users 0 members are here
Options
Suggested

HTTP Proxy users please read

tom_01
HTTP Proxy changes in 7.100

Feature and Behaviour changes

1) No restart on configuration changes
The new proxy will reload its configuration without terminating existing connections. This is very important for environments where many dynamic network objects are used, or where configuration frequently changes.

2) Full support for HTTP 1.1 connection keepalive
The new proxy fully supports HTTP 1.1 keepalive on client and server connections, improving network performance.

3) Added SSO support for "Native mode" AD (Windows) domains
The new proxy supports NTLMv2 and Kerberos authentication protocols when used with Active Directory Single-Sign-On (SSO). Kerberos is much faster than NTLMv2. It is supported in IE7 and Firefox browsers (IE6 only supports NTLMv2). Kerberos is automatically used if available. The are some setup prerequisites - see "Caveats".

4) Removed SSO support for NT4 domains
SSO Support for pure Broadcast/NetBIOS domains running with NT4 as Domain Controller are not supported any longer.

5) Improved network performance
The new proxy uses an IO model that allows for better network performance, up to a 80% increase in requests throughput depending on hardware and content scanning configuration.


Caveats

1) Changes in Domain joining for AD (Windows) domains
Customers upgrading from versions prior to 7.100 MUST re-join the Firewall to the AD domain if they use SSO. In order to join the AD domain, the firewall must find a DC (Domain Controller) machine. In previous versions, this was done with a NetBIOS broadcast. Starting with ASG 7.100, pure AD (native) mode is used, which in turn requires finding the DC with a DNS lookup. There are also more strict requirements on DNS resolution and time differences. The following conditions must be met:


  •  The time zone on the firewall and the DC must be the same.
  •  There MUST NOT be a time difference of more than five minutes between the firewall clock and the DC clock.
  •  The ASG hostname must exist in the AD DNS system.
  •  The ASG must use the AD DNS as forwarder, or must have a DNS request route for the AD domain which points to the AD DNS server.



2) Domain re-join needed on upgrade
Customers upgrading from versions prior to 7.100 MUST re-join the Firewall to the AD domain if they use SSO. See above for more information.

3) Kerberos support requires proper network setup
In order for opportunistic SSO Kerberos support to work, the clients MUST use the FQDN hostname of the ASG in their proxy settings - using the IP address will not work. NTLMv2 mode is not affected by this requirement, and will automatically be used if it is not met, or if the browser does not support Kerberos authentication.
  • 0
    So how does this affect the old necessary policy change documented in the KB:
     
    Using NTLM Authentication with Windows 2000/2003 Server Product Version: 5.023 or later Summary: If you have configured the HTTP proxy in NTLM mode in the Astaro Security Linux firewall, you'll find that using any Windows desktop client will work, however, using Windows 2000 or 2003 server will not work.  You'll also find that you can not use this mode if you are using the Windows Server as a Terminal Server as well. 
    Further Information: To fix this you just have to make one change on the Windows Server.  By default all Windows desktop clients have this currently set.

    Click Start > Programs > Administrative Tools
    Click on Local Security Policy
    Expand Security Settings + Local Policy + Security Options
    Scroll down to 'Network Security: Lan manager authentication level'
    Change this to 'Send LM & NTLM - use NTLMv2 session security if negotiated' 

    If this is a Domain Controller then the 'Local Security Policy' will be 'Domain Security Policy'. Is this change no longer necessary?  Should it be undone for the use of 7.100?
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0 in reply to Scott_Klassen
    By timezone must be the same, I am having to put the ASG box into a +9 timezone because it does not support West Australian Daylight savings.
    The machine on our network are all +8 but auto adjusting to +9 for daylight savings.  Will this be OK?

    I also tried rejoining the domain, I get popup saying joining the domain failed, however refreshing the page shows it as being joined to the domain.
    I upgraded from 7.011 so I guess the domain rejoin is not required anyway? (Only for 7.010 and earlier correct?)
Unfiltered HTML