SSO and user switching delay

This is starting to look like a real issue for me as a school with hundreds of PCs that are used by all sorts of users in quick succession.

I get 300 with  "cc get http auth_cache_ttl"

if the ttl can be set to 100 secs that would be much better but it was mentioned at the top of the thread that "If this is a business with more than a few users, you probably don't want to make the following change."

What adverse effects would this have?

Mine is set to 100 and it didn't make any change, still have the 15 mins delay.  I tried Transparent SSO. Works fine with IE except on a few machines (Mostly left overs XPs.... by next month they are gone... If I have time).  Works fine on Firefox as long as you do the about:config, network.automatic-ntlm-auth.trusted-uris, http://, But chrome has a bug, you have to open IE first, so it does the connection, then you can use chrome (Learned that chrome used parts of IE).

Guess now I'm have to create a GPO proxy setting.  But I need to know to set it up properly first!?!?!?  and it would fix issues with TS.  

.... Did I mention that I have euuugh ...... MAC users..... *add your remark of discuss here*  .... Tried to use the agent... didn't go really as planed... I have to make some other test tomorrow and apparently you can make them log with an AD client... Sophos support told me that... kinda have to try that.... 

Then the IOS and Android.... I use Browser for now, but the users are complaining about the 15 mins timeout... they have to enter their pass every 15 mins.... Guess that will be the cause of next week insomnia... 

But what would really help me right now is if in a Webfilter Policy with SSO as Default and Block Access on Auth failure uncheck, and if the client doesn't authenticate (MAC or Cellphone) when on a determined Network it would still got through the list of policies and at the Base Policies I could put ANY (user/group) and give them some basic restrictive right... 

As soon as I put SSO on a Network webfilter policy it has to have a valid user or you get this:

Request URL: Google
Result: Blocked
Reason: User required by policy
Filter Profile: All_VLAN_Web_Filter

I want to make this OPTIONAL!?!?!?

Try
cc get http transparent_auth_timeout

Defaults to 900 (15 minutes).  I *think* that is the timeout you want for transparent mode.  There is no real risk to making it smaller, just realize that it will increase certain types of load on the system.

If you are in transparent mode and you are getting password prompts:
cc get http adsso_redirect_use_hostname

This should be set to 1 which means that UTM will redirect the browser to http://utmname/ to do the SSO and by default both IE and FF should realize that a bare hostname is part of the intranet and therefore SSO with no prompt to the user.  If that is not working then in FF I think you found the setting, in IE you need to add the UTM into the "Intranet" zone.
If this is set to 0 then it will use the FQDN and IE/FF will not SSO without confirming to the user that you really want to send a password to the site - unless the site is added to the intranet zone / trusted auth.

If you are using Browser authentication (eg for mobile devices) then make sure you are not blocking pop-ups.  After logging in it should automatically open up a new tab.  As long as that tab remains open you should remain logged in.