Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 3768 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

AD SSO Transparent Mode Authentication Timeout

JoshR
I'm currently testing/setting up a UTM and I've been having a problem with AD SSO in Transparent Mode.

Our current web filter utilizes a small user authentication client that sends identity data to the filter for logging purposes. When I user logs in or logs off their identity data is associated or de-associated with the IP at that time.

I've noticed that with the UTM, if I boot up a PC and browse as a user (Test1) that information is correctly displayed in the Web Filtering logs, that traffic is tagged as coming from Test1. If I log out of Test1 after a period of 5 minutes or so and log in as another user (Test2), the traffic is still logged as coming from user Test1. This usually persists for a period of about 30 minutes, after which time the identity data appears to update and correctly attributes the traffic to Test2.

What's going on here and why isn't traffic attributed to Test2 once the account is logged in?

Is there some timeout period where the UTM doesn't attempt to re-authenticate the traffic? If so, can I change this to a much shorter interval? I tried the setting under Web Protection >> Filtering Options >> Misc >> Authentication Timeout, but that setting doesn't appear to affect my situation.


This thread was automatically locked due to age.
  • 0
    Hi, Josh, and welcome to the User BB!

    As explained there on the 'Misc' tab, "Authentication Timeout is the length of time (in seconds) that a user can use the proxy after logging in when using Browser authentication mode, or that a site is unblocked when using Bypass Blocking."

    To minimize lookups, the UTM caches the IP->username for 15 minutes when AD-SSO authentication is in use.  That is modifiable at the command line, but shortening it will increase the load on your AD server.  The change is a part of the configuration backup, so it is permanent until you make another change in the same way.  To set it to five minutes from the command line as root:

    cc set http aua_timeout 5


    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I'm not sure about that configuration, Bob.

    My recollection is that the setting by default is 5 minutes.  However if you are using transparent mode and it will continue to use the cached user until it gets a request that is authenticatable. In other words, a url that has no parameters (does not contain ?) and is not https (unless you have https scanning on).
  • 0
    Thanks for the information guys, I think I've decided to just use Standard Mode for these connections.  It seems from my limited experience so far that Standard Mode is a little more quick to update when it comes to authentication.

    On another note, is there a listing somewhere of the "cc" commands available when logged in through the console?
  • 0
    is there a listing somewhere of the "cc" commands available when logged in through the console?
    You can get a list of all RAW commands by entering CC, and entering RAW.  There's also some commands at https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/21326.  Tons of others interspersed throughout the forums.  To answer your next question, there is no CC manual, because customers aren't supposed to use it.  When you first log in to the shell, there's a warning message.  If you are a paid license user and make changes from the shell, your support contract and warranty will be voided unless Support has given you specific instructions to do so (usually they will make these kind of changes and not tell you what they did).  Now support won't just cut you completely loose, but if you've made shell changes on your own and contact support, they will require you reinstall from ISO and manually reconfigure before assisting, to ensure shell changes/customization's have been completely removed.  If you're a paid user, make certain that you get permission from your boss before going rogue to CYA.  [:)]  If this isn't a paid install, feel free to fiddle, just be aware that there's only a handful of people on this forum versant  in CC, to varying degrees, to draw on.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    Alright, thanks for the information. I was just kind of curious, but I'll definitely stay away. This is a paid install and I decided to just go with Standard Mode, mostly for the reason that I didn't really feel like having to muck about in the shell to do something. I figure if I was really meant to do it, it'd be supported on the front-end.

    Thanks again for the information.
Unfiltered HTML