Sharepoint & Sophos UTM 9.1

Hi Guys,

Just to let you know:

ID16010 9.000 Microsoft Sharepoint / NTLM Authentication doesn't work over WAF
------------------------------------------------------------------------
Description:
Workaround:   In addition to the NTLM authentication, enable Basic
              Authentication in the Microsoft Sharepoint configuration.

Quelle: http://www.astaro.com/lists/Known_Issues-UTM-V9.txt

-> still doesn't work. I will have a call in about a week with Sophos. Will keep you updated!

I am facing the same issue.

Made many changes. In the end I ended in a scenario, where a Login on one computer logged in the same user on another computer.

So I logged in one the one Computer and then I was logged in on the other Computer aswell...

It's really embarassing.
Although, I made a workaround on our system.

I've made some NAT & Firewall rules for port 300002 and 300004 to reach the real webserver instead of the virtual webserver. It's not as is should be, but we had an enourmous pressure from our company leadership to go live.

I will phone with Sophos next week to find a solution and I will keep you guys updated.

Hi, my solution was to extend the SharePoint site and made a ClearText Auth for the extented site.

This way internal user use NTLM with AD, and external user with WAF use Base authentication with AD and SSL.

Here the link for ref:
https://confluence.atlassian.com/display/SPCON/Access+SharePoint+using+Basic+Authentication+and+SSL+(via+Alternative+Access+URL)+with+SP+2013

Hi

We face the same problem... will this be fixed or do we have to find a complicated workaround (basic does not work either and webapp extension is not acceptable).

Thank you

Did somebody find a solution within UTM configuration in order to avoid asking for user data (username, pw) about 10 times before every click on MOSS 2010 page ?

I know this is old, but we struggled with this also [:)]
Simply Setup a DNAT rule to forward all web (or the ports that you need) to the SharePoint WFE.

I assume you have implement Kerberos authentication on the SharePoint Applications this will further reduce the number of login attempts for external users.

You will need to ensure that alternate access mappings have been setup in SharePoint because the DNAT rule will cause traffic to bypass the WAF settings altogether, so no need to configure virtual web server rules.

Hi,

I am replacing an ISA 2006 system with the UTM web server protection option.  I am using 9.2 on a UTM120 reimaged with the ISO file ssi-9.201-23.1.iso and am having the same issue.

I am publishing our SharePoint 2007 site remotely using the web server protection mode, and am encountering the issue where the system asks for credentials for each specific resource as it is being retrieved.  I can see in the SharePoint IIS logs the requests coming in for each resource, firstly without authentication and then the next time with authentication.

I tried both with and without front-end authentication delegation on the UTM, and I enabled basic authentication on the relevant site only - disabling Windows NTLM authentication after observing the issue ID16010 9.000 Microsoft Sharepoint / NTLM Authentication doesn't work over WAF.

Any suggestions?  It is going to be a deal breaker if I can't get this working.
Thanks.
Andrew.

Hi Guys,

I managed to get this working on UTM 9.2 using SharePoint 2007.

What I did:
I set up SharePoint with an external site in SharePoint using Alternate Access Mappings for the external domain, I enabled basic authentication only, disabling NTLM.

I published the site using the UTM with no authentication delegation, and the username domain\username works fine.

It is important to ensure that the back-end SharePoint only has basic authentication enabled, check the HTTP headers for this.

The next step is to modify the basic authentication settings in IIS, and change the default domain in the basic authentication settings.  This means that just specifying a username works fine.

When the UTM does authentication delegation, it only sends the plain username to the back-end web server.  This means that the authentication delegation will fail unless the default domain is set in the IIS properties for the external website.

I enabled forms based authentication delegation in the UTM and successfully logged into SharePoint using the UTM forms based authentication.

However, when using this method, Word and other Office apps fail because I believe that the UTM is presenting them the forms based authentication page when you try and check out a document, and the Office tries to connect to the SharePoint web services.  ISA is better in this respect as it only does forms based authentication for browser clients based on the headers sent in the HTTP request, otherwise it falls back to basic.

I overcame this by changing the authentication delegation on the front-end in the UTM to basic.  When users now connect to the SharePoint site externally, they have to provide just their username and password, and the UTM does the authentication to the back-end server.  When using an Office app, there is an authentication prompt, but once this is complete, the app works normally.  This also happens with the ISA publishing so it isn't a problem.

I now have the same functionality as I have with the ISA box, in that I can selectively publish SharePoint externally to specific user groups, and the initial authentication is done at the UTM.  The only functionality I have lost which isn't a deal breaker is the forms authentication, which is only a nice to have.

Thanks.
Andrew.

I have this same problem. anyone else have luck with adhodgson's method?