This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Problem with AD-SSO Transparent-Proxy

Hi all,

long time ago, I installed an utm at a customers site. If it is important, originally the hostname of the utm was utm01. Later I changed it to utm01.domain.local.
The utm joined the domain (2x AD Servers (1xWin Srv 2008 & 1x Win Srv 2008R2) but at Win 2003 functionlevel (perhaps this is interesting for you). Originally, the Transparent Mode AD-SSO with AD-Groups for specific Proxy Rules was working, but not from the beginning. The setup was already in place, but Transparent-AD-SSO didn´t work. It started working without any changes...(on the utm, perhaps the customer did sth. with the AD) That was pretty surprisingly for our support-partner and me.

Now, since december the AD-SSO isn´t working any more. Not working means, the browser displays a popup and is asking for credentials. I already re-joined the utm multiple times, but that didn´t change anything.

At first my distributor, now Sophos care´s about the ticket. So far sophos has no exact clue, what has to be done to solve the problem. Again and again I was told to check the configuration, regarding to the KB Article:
https://sophos.com/kb/120791. I´ve done that, but that didn´t do the trick.

We did a lot of captures, I could provide them for somebody, who is interested in.

I captured the following (all from exact the same time):
- Traffic at UTM with different filters (4 files)
- DC Eventlog
- DC Sysinternals Procmon Capture
- Wireshark capture Client
- AD-Attribute info for the utm Account

Domain: radiologie.local
Ip-Addr of AD-SRVs: 10.247.100.111,10.247.139.1
Client:10.247.100.101
UTM:10.247.254.22

There is an interesting thing, that I found in the capture (communication between utm and DC):

KRB Error: KRB5KDC_ERR_PREAUTH_REQUIRED
KRB Error: KRB5KDC_ERR_ETYPE_NOSUPP


I made a few extra tests, I switched to standard-proxy mode with SSO.

1.) Configuration of Client-Browser settings Proxy: "utm01.radiologie.local:8080" or "utm01:8080" ----> SSO Working fine, all the time.
2.) Configuration of Client-Browser settings Proxy: "10.247.254.22:8080" ----> SSO doesn´t work, popup appears!!! I verified this behaviour.... its reproduceable.

I don´t understand this behaviour... Standard-Proxy SSO Works, Transparent-Proxy SSO doesn´t work. I might be wrong, but for me it seems to be a problem with Kerberos/NTLM auth and the maschineaccount in the domain?!

I´ve attached some screenshots.

Current Firmware Version of the UTM: 9.210-20

Any ideas?

have a nice day,
Sebastian


This thread was automatically locked due to age.
Parents
  • originally the hostname of the utm was utm01. Later I changed it to utm01.domain.local.

    Please refer to The Zeroeth Rule in Rulz.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • originally the hostname of the utm was utm01. Later I changed it to utm01.domain.local.

    Please refer to The Zeroeth Rule in Rulz.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • Please refer to The Zeroeth Rule in Rulz.

    Cheers - Bob


    Thanks Bob, I will keep that in mind but I want to do this as the last option... And I really have to say, that Sophos Support should advice me to do that. They should know how to act here, even if the solution is a reinstallation, but so far no solution here...

    thanks,
    Sebastian