AD Group Membership

Ahh, that's because there are several different authentication methods:

• Backend Group - the UTM asks the AD if the username is a member of an AD Security Group.
  
• Local Group - the UTM checks itself to see if the username is in the group - not compatible with AD-SSO*.

If you have a Local Group of synced users in 'Allowed Users', the AD won't be asked about the users' membership in any AD Security Group.  Take another look at that link you got to the document on the KnowledgeBase.

There was another link to a how-to with screen shots, but that one incorrectly linked AD-SSO and synced users.

Cheers - Bob
* In fact, I haven't tried this with AD-SSO as it would make the configuration more confusing and would remove the ability of the AD admin to regulate users' web access without involving the admin for the UTM.

Ok, but the UTM9 group "Speciality" was not populated from the list of synced users, it was populated from the AD tree.
New Group
Backend
Active Directory
Limit to backend
Then I drag the users from the AD browser to the group.

I created all my groups like this for use with the Proxy.  All the groups work correctly except for two.  

Here is what I have happening.  I make a UTM9 group named "Maintenance" and go through the steps above to add my AD group "PNG - Maintenance" to this local group.  Only selected people are in this group, obviously.

All adults in our district are a member of the AD group "District Staff and Faculty" so I make another UTM9 group that contains this AD group.

I make my filter actions then assign those groups to the filters I want.
Under profiles I make sure that they are active and put in the order I want them to be applied.

I put "Maintenance" ahead of "District Staff and Faculty" in the order.  

Ok.  Remember that this user is in both groups.

I watch the user in question in the web log.  He is not being picked up by "Maintenance" but by "Staff".  He passed right through it without being authenticated as a member of the first group.

Again, all except two groups work correctly and they were all created the same.  Assigning the local SYNCED user to the profle does result in the user getting the correct profile, but I don't think I should have to do that, since it works with the other groups.

Although it might work to create Backend groups with individual AD user accounts, that's not how any of the documentation is written, so for it to be unreliable might reflect the fact that it's not a standard practice.  I would urge you to change to do it with AD-based Security groups - that means you won't have to touch the Astaro when adding/deleting new/old users. 

Since you have Astaro/Sophos support, please ask your reseller to open a ticket before you make changes just in case a developer wants to see why what you're doing only works sometimes. 

Cheers - OkieBob [;)]

Sorry for any short responses!  Posted from my iPhone.

I am not making backend groups with individual user accounts.  I am making backend groups with AD user groups.  Does that make a difference? If it isn't supposed to work like that, why does it allow me to create them?

As to support, don't get me started.  We have been running Astaro since 2003.  We have always had the same support plan.  I had a problem, I went to the portal and created a ticket.  The last time I did so, and it was about this issue, I was told that since I only had the "Standard" license I was not supposed to be using the portal and they provided me a link to the proxy profile setup and told me to contact my local partner.  I was told it had always been like this, but "sometimes" they answer the question anyway.  ???  I have gone through numerous license renewals and a whole buttload of incidences and was never told I could not use the portal before.  If I am not supposed to use it why is that "Create incident" button available to me?

Sigh.  I have requested a support upgrade quote from my "Local Partner (100+ miles distant) so I can get first hand support from the people who wrote the software.  I guess there "is" a new sherrif in town.

Are these Security Groups or Distribution Groups?

Cheers - Bob

Group Scope = Global
Group type = Security

A made a couple of new groups today.

Definitions & Users
Users & Groups
New Group
Backend
Active Directory
Limit to backend
Click on the folder icon to open the AD browser
Show Groups
Navigate the AD tree and drag my group over

Save it all
Go create a action/assignment/profile that uses it

Users assigned to that groupwere being correctly assigned to the right filter.

Like I said, most work, I just have two that will not.  I have deleted the groups and tried again with the same results.  I have _not_ deleted the AD group and recreated that.  Maybe thats the next step.

I just want to have this sorted out before the 27th when the students return.  I do not look forward to "possibly" having to create a profile and assign 1,500 high school students to it as opposed to just assigning the AD group "HS Students" to the filter.

Try changing the "Active Directory Groups" value, in the "Groups" object to the Pre-Windows 2000 value as shown in active directory.

Robert, your reseller is supposed to submit a ticket to Support.  A Premium support subscription only will allow you to enter your own tickets to or call Support, not get any better connection to the developers.

I'll be interested (and I bet the developers would be, too) to see if Longman's suggestion fixes those two "broken" AD Security Groups.

Cheers - Bob
PS Sorry about my confusion in the beginning as I see now that you've been doing it all exactly correctly from the start.

Longman - I am not sure how to accomplish what you are asking.  The only difference I can see in this value is that the AD group name has a hyphen in it and the Pre-2000 does not.  You want me to manually edit the value in the UTM to remove the hyphen?  I do not see any way to select the Winddows 2000+/Pre Windows 2000 value when viewing  / adding the AD group.

BAlfson - Developer access is not what I am looking for. I want to ask my questions directly to the guy who will be answering them.  I don't want to ask the reseller so he can ask support so support can tell the reseller so he can tell me.  Get it?  To many people involved that way.   I quess I have just been lucky since 2003 and the Astaro support guys would answer my questions out of the goodness of their hearts.  The Sophos guys are not going to be following that mode of operation. Since that's how it is, I will make the appropriate changes in our maintenance agreement.

For the backend group you created select the + sign and you can manually add the Pre-Windows 2000 value for the group and then remove the existing group or just create a new group and test. Looking back at my own instructions I had this note to myself 
"Group x.500 name must match the AD Group name". I know that when I browsed for the group instead of manually adding I had found some issues.