active directosy SSO not working on newer OS

Please show the log line for the same access from XP (successful) and Win7 (blocked).

Cheers - Bob

Here are part of the Web filtering log, the first entrys are from windows xp who can successfuly browse the internet.
Entrys marked on red are from a windows 2012 with the same proxy configuration but browsing errors:

2015:03:17-11:03:40 utm httpproxy[5916]: id="0071" severity="info" sys="SecureWeb" sub="http" name="web request warned, forbidden category detected" action="warn" method="GET" srcip="192.168.1.165" dstip="" user="castillop" ad_domain="MYDOMAIN" statuscode="403" cached="0" profile="REF_HttProContaInterNetwo (WebUsers MYDOMAIN)" filteraction="REF_HttCffFiltrNavegBasic (BASIC Browse Filter)" size="3207" request="0xde60000" url="www.googleadservices.com/.../4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)" exceptions="" reason="category" category="154" reputation="neutral" categoryname="Web Ads"
2015:03:17-11:03:40 utm httpproxy[5916]: id="0071" severity="info" sys="SecureWeb" sub="http" name="web request warned, forbidden category detected" action="warn" method="GET" srcip="192.168.1.165" dstip="" user="castillop" ad_domain="MYDOMAIN" statuscode="403" cached="0" profile="REF_HttProContaInterNetwo (WebUsers MYDOMAIN)" filteraction="REF_HttCffFiltrNavegBasic (BASIC Browse Filter)" size="3161" request="0xd2fc800" url="oas.adservingml.com/.../4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)" exceptions="" reason="category" category="154" reputation="unverified" categoryname="Web Ads"
2015:03:17-11:03:40 utm httpproxy[5916]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.1.165" dstip="23.198.188.77" user="castillop" ad_domain="MYDOMAIN" statuscode="302" cached="0" profile="REF_HttProContaInterNetwo (WebUsers MYDOMAIN)" filteraction="REF_HttCffFiltrNavegBasic (BASIC Browse Filter)" size="99" request="0xeb2d800" url="img1.mlstatic.com/.../img
2015:03:17-11:03:40 utm httpproxy[5916]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.1.165" dstip="23.198.188.77" user="castillop" ad_domain="MYDOMAIN" statuscode="302" cached="0" profile="REF_HttProContaInterNetwo (WebUsers MYDOMAIN)" filteraction="REF_HttCffFiltrNavegBasic (BASIC Browse Filter)" size="99" request="0xd941000" url="img1.mlstatic.com/.../img
2015:03:17-11:04:14 utm httpproxy[5916]: id="0060" severity="info" sys="SecureWeb" sub="http" name="web request blocked, forbidden category detected" action="block" method="GET" srcip="192.168.1.21" dstip="" user="" ad_domain="" statuscode="403" cached="0" profile="REF_HttProContaInterNetwo (WebUsers MYDOMAIN)" filteraction="REF_DefaultHTTPCFFBlockAction (Default content filter block action)" size="3157" request="0xd5e4000" url="www.google.com/.../6.0)" exceptions="" category="145" reputation="neutral" categoryname="Search Engines" reason="category"
2015:03:17-11:04:19 utm httpproxy[5916]: id="0060" severity="info" sys="SecureWeb" sub="http" name="web request blocked, forbidden category detected" action="block" method="GET" srcip="192.168.1.21" dstip="" user="" ad_domain="" statuscode="403" cached="0" profile="REF_HttProContaInterNetwo (WebUsers MYDOMAIN)" filteraction="REF_DefaultHTTPCFFBlockAction (Default content filter block action)" size="3163" request="0x99a9800" url="www.google.com.ar/.../6.0)" exceptions="" category="145" reputation="trusted" categoryname="Search Engines" reason="category"

Have you enabled anything under "device specific authentication"?
Is it possible you are hitting a different Profile?

Is is possible that you have some IE configuration that only some versions of IE or Windows?  Some odd GPO?  How does Firefox behave?

There are no successful accesses in the log lines you've shown above - all are blocked with statuscode="403" or are just redirects (statuscode="302").

Cheers - Bob

Bob, a 302 is a success, at least for these purposes.

Based on srcip, it looked like he has a few accesses by one computer which is authenticated.  The there are the two in red.

The user is blank, so its not authenticated.  But it is hitting the Block Action, which is what would occur if you got past the authentication module and most likely hit the Default Policy (at the bottom).

At a guess...  you have "Block access on authentication failure" unchecked?  That is how it is getting past authentication.  Then you don't have any policies that allow for non-authenticated users.

If you turn on the "Block access" most likely what will happen is those computers will get a browser pop-up asking for credentials.  Try it and see if works.

The way browser NTLM for standard proxies works is that the UTM sends a 407 Authentication Required, the browser uses the windows credentials (Single Sign On).  The UTM checks that against the AD server.  If "Block access" is off, on failure it will just allow you through anyway.  If "Block access" is on, on failure it will send a second 407.  The Browser responds by doing a pop-up dialog to the user.

If entering in credentials in the pop-up works then you have a failure in the first sending of stored credentials.  If you go to a command line and run whoami do you get the same domain user?

I've more or less the same behavior.

In my case, all our computers are running Win 7 pro (x64, domain integrated, etc...)

With my PC, I need to specify fqdn of utm in firefox (about:config -> network.automatic-ntlm-auth.trusted-uris). If not, I receive a pop up with authentication.

With an other PC, with fqdn specified or not, user is blocked. Same behavior that above, user="" and ad_domain=""
If user type "whoami", domain\user is correct

Olivier

Are all systems using the same version of firefox, something fairly recent?  network.automatic-ntlm-auth.trusted-uris should work per https://www.sophos.com/en-us/support/knowledgebase/120791.aspx for Transparent Mode SSO.  Are you using the proxy in transparent or standard mode?  Are you specifying the proxy in the browser using the IP of the UTM or the FQDN?

Give some logging examples as Teki provided.

Yes, we are all running with a recent Firefox (v 38.x).
We use proxy in transparent mode and I specify fqdn (not IP) of UTM

But, maybe stupid question, shall I create a packet filter rules allowing https ? it was mandatory with 9.2, is it always the case with 9.312 ?

If you are doing HTTPS scanning/filtering, then a firewall rule is not necessary.  If you are not doing HTTPS filtering in the proxy, then you will need an outbound firewall rule for the service.

OK, so that's my problem... Without firewall rules, some users are blocked and can't surf on https sites.
When blocked, I can see in logs - user="" & ad_domain="" - (again, only for some users)