SSO and user switching delay

Hi, and welcome to the User BB!

If this is a business with more than a few users, you probably don't want to make the following change.

If it's a home-use situation, try the following as root at the command line:

cc get http auth_cache_ttl

That should tell you 300 seconds, the default.  You can change that to 100 seconds with:

cc set http auth_cache_ttl 100

That change becomes a part of the configuration backup.

Cheers - Bob

Good to know... Yeah it's on a SG330, about 100 to 150 user that will use the Internet... 300-400 Devices in all, but most of them don't even go out.  But still if I drop that to 2 mins instead, what would be the repercussions??

I don't have stats on that.  You might try a test for an hour.  Please share the results, mentioning the server hardware platform.

You might want a different strategy - how many machines have multiple users?  When one of them is in use by one person, what is the min/max amount of time?

Cheers - Bob
PS If LAN Settings in Windows contains the numeric IP of your SG 330, authentication is done with NTLM.  With an FQDN, it's done with Kerberos - usually more robust.

I've tried it, and still same result.  Only now, I did time it with the Web admin live logs... and it take exactly 15 mins from when I logoff till the connection reset to the new user... 

So if new user logs before the 15 min mark, he will browse with the credential of the previous user until the 15mins ends, then the system logs the new user credential...

I don't like this ...

Hi,

we have the same problem.  SSO Authentication Transparent. There are a few machines which are used by different users. 

In the webfilter logs you can see, that after another user has logged on, there is still the "old" user.

We had contact with support who told us cc -> http -> aua_timeout$ would be helpful to set the time lower but that didn't do it.

Now we are going to test Balfons command with cc set http auth_cache_ttl 100 for a few hours. 

I'll let you know if it helps ..

Hi, unkr3ativ, and welcome to the User BB!

Did support tell you that the timeout for Transparent SSO is different than the one for Standard SSO?

efrancoeur, 15 minutes is the default timeout for Browser Authentication, not SSO.  That should be the result you get with:

cc get http aua_timeout

You should answer my questions about choosing a strategy.

Cheers - Bob

I've change  http aua_timeout to 3 
http auth_cache_ttl to 1 

And still takes me 15 mins for the client to reset to new user...

I'm having the same unresolved issue. Also am i right that this would not work with terminal server, as all the users surfing with the same IP?

.... Yeah I didn't even think of that.... This is starting to look like a can of worms....

What do you get from

cc get http transparent_auth_timeout

and

cc get http auth_cache_ttl

now?

You should set the transparent_auth_timeout on the 'Misc' tab of 'Filtering Options'.  The ttl for AD-SSO can only be set at the command line, but shouldn't be necessary.

This is starting to look like a can of worms....

Yes, with Transparent and Terminal Server, things don't work as you would like.  Is there a reason to NOT use Standard mode for the TS?  When the Proxy is configured in Windows, browsing requests include the user's credentials.  Reports based on IP will still be "fooled" by this, but Web Filtering reporting and logging will work as you wish.

Cheers - Bob