Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 1 subscriber
  • Views 17951 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Exchange + Reverse Authentication + Logout

pfeigl
Hi,

we are running Exchange 2013 SP1 and are using our Sophos UTM as WAF. We also use the reverse authentication feature to handle logins completely through the UTM before passing the user to the Exchange OWA.

While setting this up was quite a task, it now works pretty well - with one exception. After setting the Exchange Server to Basic authentication (which is a requirement for reverse auth), the "Logout" button within OWA only displays a small popup "Please close all your browser windows now". See the attached screenshot for this.

But the user is not really logged out upon clicking the button. 

Forefront TMG had a feature to specify a specific logoff URL which was used to logout the user. They probably "hacked" this URL into the exchange OWA while doing the proxying - but thats just a rough guess.

Is there some way to get an real "Logoff" done using Exchange 2013 + UTM with reverse auth?

Thanks for your support,
Philipp


This thread was automatically locked due to age.
  • 0
    Hi, Philipp, and welcome to the User BB!

    This is the first I've seen this issue here.  Please submit a ticket to Sophos Support.  If no one else answers your question here, please come back to this thread and let us know Sophos' solution.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Thanks for the fast feedback. Here is btw a link to someone having the same problem.
    It looks like, this "feature" of exchange has been introduced with exchange 2013 CU1:

    Exchange 2013 CU1 Outlook Web App LogOff with Basic or Windows Integrated Authentication
  • 0
    Has anyone ever found a solution to this?
    We cannot use Basic Authentication (for the virtual web server), and have to use Forms authentication because of our corporate policies. However, the reverse authentication feature only allows basic authentication for the real web server in which case we see the problem described by the OP.
    All a malicious user has to to is to click the back button and gets a fully functional OWA session, despite having logged out. This is the ultimate show-stopper for us.

    Some Sophos sales guy told us that the UTM was the "ultimate" TMG replacement, but the more I evaluate the product the more I realize that the UTM is a product targeted towards small/medium business at best and unfit for campus / enterprise deployment, with lots of feature shortcomings and stability issues.
  • 0
    Thanks for explaining the issue, guys.  Did you get Sophos Support involved, lightxx?  They have very capable pre-sales engineers and they can access the developers fairly easily.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Yes we've opened a support ticket. Let's see what happens. I'll report back here if there's a fix / solution / workaround.
  • 0
    After weeks of waiting we received word from Sophos on our case. 

    This behavior is by design and not a bug and that's that.
  • 0
    I also do have that behaviour (well, i had - i´m not using reverse authentication precisely because of it)..

    If it´s by design, (thus, not a bug) how can they change it?! Feature request?
  • 0
    Same problem here.
    Most stupid reasoning I have ever heard...

    So logout is not possible anymore? great design
  • 0
    Lol is this a joke?

    the new sophos board sucks... :-( please give us the old one back.

  • 0 in reply to M.Rottler
    Does the Sophos UTM use the mod_auth_form apache module to perform the authentication under the hood?

    If so, this module has a method for handling logouts;

    SetHandler form-logout-handler
    AuthName realm
    AuthFormLogoutLocation "example.com/loggedout.html"
    Session On
    SessionCookieName session path=/
    SessionCryptoPassphrase secret

    Could Sophos not remotely connect in and configure this under the hood?
    Then longer term update the management interface to allow end users to configure it.
Unfiltered HTML