Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 1 subscriber
  • Views 5226 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

active directosy SSO not working on newer OS

teki
I have problems browsing from windows 7 and newer OS . Other older OS like XP and 2003 have no issues.
My configuration is web filter profile with act dir SSO on standard authentication.
When trying to browse a web page from the internet on windows 7, i get the content blocked page from utm. If i logon with the same user on a windows xp i successfuly browse the same web page. 
It only affects windows 7,8,2012 OS.
Reviewing web filtering log show blank user and ad_domain.

What could be happening here?


This thread was automatically locked due to age.
Parents
  • 0
    Bob, a 302 is a success, at least for these purposes.

    Based on srcip, it looked like he has a few accesses by one computer which is authenticated.  The there are the two in red.

    The user is blank, so its not authenticated.  But it is hitting the Block Action, which is what would occur if you got past the authentication module and most likely hit the Default Policy (at the bottom).

    At a guess...  you have "Block access on authentication failure" unchecked?  That is how it is getting past authentication.  Then you don't have any policies that allow for non-authenticated users.

    If you turn on the "Block access" most likely what will happen is those computers will get a browser pop-up asking for credentials.  Try it and see if works.

    The way browser NTLM for standard proxies works is that the UTM sends a 407 Authentication Required, the browser uses the windows credentials (Single Sign On).  The UTM checks that against the AD server.  If "Block access" is off, on failure it will just allow you through anyway.  If "Block access" is on, on failure it will send a second 407.  The Browser responds by doing a pop-up dialog to the user.

    If entering in credentials in the pop-up works then you have a failure in the first sending of stored credentials.  If you go to a command line and run whoami do you get the same domain user?
Reply
  • 0
    Bob, a 302 is a success, at least for these purposes.

    Based on srcip, it looked like he has a few accesses by one computer which is authenticated.  The there are the two in red.

    The user is blank, so its not authenticated.  But it is hitting the Block Action, which is what would occur if you got past the authentication module and most likely hit the Default Policy (at the bottom).

    At a guess...  you have "Block access on authentication failure" unchecked?  That is how it is getting past authentication.  Then you don't have any policies that allow for non-authenticated users.

    If you turn on the "Block access" most likely what will happen is those computers will get a browser pop-up asking for credentials.  Try it and see if works.

    The way browser NTLM for standard proxies works is that the UTM sends a 407 Authentication Required, the browser uses the windows credentials (Single Sign On).  The UTM checks that against the AD server.  If "Block access" is off, on failure it will just allow you through anyway.  If "Block access" is on, on failure it will send a second 407.  The Browser responds by doing a pop-up dialog to the user.

    If entering in credentials in the pop-up works then you have a failure in the first sending of stored credentials.  If you go to a command line and run whoami do you get the same domain user?
Children
No Data
Unfiltered HTML