Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 24 replies
  • Answers 1 answer
  • Subscribers 2 subscribers
  • Views 27918 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

AD Group Membership

TXGARobert@Home
I have the proxy running with the authentication method set to SSO.  For the most part, everthing works as expected.

I am having issues where I create a "New Group" in the UTM9 box, assign one or more AD users to the group then use this newly created group in my "Filter Assignments".  The users that are assigned to this group are not being assigned to the proper filter profile.  For some it works fine, but not all.

If I add these AD users directly to the FilterAssignment they are being assigned to the correct filter profile.

Also, if I take a AD user account that I am having issues with and use that to test the adirectory authentication server, it is not showing that he belongs to the UTM9 group in question, even though it does show the other two he would be a member of. I can see his name listed clearly in the group as being there.  I have tried deleting the group and recreating it, but the same thing happens.

Any ideas as to what to check next?


This thread was automatically locked due to age.
  • 0
    Yes, I also looked at your suggestion, Longman, and I can't see what you had in mind.

    Robert, I feel exactly the way you do - I don't like having someone that doesn't understand enough between me and the folks that do! [;)]

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I am using several back end groups from Active Dirctory with no problems. In my case where the backend group is added, I did not select a group from AD by selecting the folder icon but instead hit the "+" icon and pasted in the pre-windows group name from the AD group. The manual was a bit lacking on configuring backend groups so it was somethng I tried which has worked fine. Just suggesting a different approach for him to try. Sorry that I have been unable to explain clearly what I am seeing on the screen. I configured the astaro firewall to support a few hundred users and have used it for several months. Previously used ISA for 15 years. Must know something.
  • 0
    Here is a screen shot where the Pre Windows 2000 group name was specified for the back end group.
  • 0
    This does look like the glitch mentioned in the KnowledgeBase article - spaces can confuse the AD server.  Let us know if either approach works!

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I have figured out how to get it working, though I have been told it should not be necessary to do it this way.

    Create my AD Group(Yes, it has spaces)
    Add members
    Create my UTM backend group, add the AD group to it

    Create filter action (or use existing, no difference)
    Create filter assignment /  change existing assignment and add new UTM group.
    Check the assignment in proxy settings and put it in correct sort order.

    Ok, I watch the web log for a user in the above group who is currently online.
    Watch him in the web filter, he is not using the new filter but dropping through until he hits one he is a member of.  This goes on for 5 - 10 minutes.

    I go back and manually initiate a PREFETCH
    Once it finishes, I watch for him in the log again.
    After a very short time, less than a minute usually, I see where he is using the new filter about half the time.
    After 1-2 minutes he is using the new filter constantly.

    So?  I now just manually initiate the PREFETCH every time I add a new UTM group.

    Seems to work fine afterwards.

    I would much rather do that than go through and manually type in the Pre-2000 group names(which have spaces too) or go remove the spaces in all my AD group names and recreate the UTM groups.

    As always, results may vary.
  • 0
    On the Backend User Groups in Astaro, do you have to use DN (CN=WebUsers,OU=BranchOffice,DN=Domain,DN=local)or just basic names (WebUsers)?
  • 0
    jraley - Not sure what you are asking.  When creating UTM backend groups, I just use the AD browser and drag the AD group I want into the bottem pane.  It does put it in in the CN=.....  format.
  • 0
    Robert, aren't you planning to use this in a school environment?  The only downside of that workaround is the need to delete old accounts from the Astaro.  Deleting an account from AD does not delete the user object in Astaro, and there's no way to delete a large group of users easily.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    What work around are you refering to?

    Yes, in a school.

    Yes, deleting one at a time is horribly slow.
  • 0
    Oh, you mean the prefetch?  Well, even if I don't prefetech does it not create a local user everytime someone authenticates against AD?

    Or is that not necessary?

    As to deleting the users, I can set my display for 500 users at a time and select them all.  There is 500 gone.  And maybe a few I shouldnt.   

    Are the local accounts even needed if they are not used specifically in a HTTP profile or something simular?
Unfiltered HTML