Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 1 subscriber
  • Views 17968 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Exchange + Reverse Authentication + Logout

pfeigl
Hi,

we are running Exchange 2013 SP1 and are using our Sophos UTM as WAF. We also use the reverse authentication feature to handle logins completely through the UTM before passing the user to the Exchange OWA.

While setting this up was quite a task, it now works pretty well - with one exception. After setting the Exchange Server to Basic authentication (which is a requirement for reverse auth), the "Logout" button within OWA only displays a small popup "Please close all your browser windows now". See the attached screenshot for this.

But the user is not really logged out upon clicking the button. 

Forefront TMG had a feature to specify a specific logoff URL which was used to logout the user. They probably "hacked" this URL into the exchange OWA while doing the proxying - but thats just a rough guess.

Is there some way to get an real "Logoff" done using Exchange 2013 + UTM with reverse auth?

Thanks for your support,
Philipp


This thread was automatically locked due to age.
Parents
  • 0
    Frankly, I'm strongly inclined to put TMG behind another UTM and keep using it just for reverse proxying until support runs out in 2020.

    I, presumably like all the other TMG refugees here, was attracted to Sophos over the alternatives because of WAF but in testing I can see that isn't going to work out;

    No reliable sign-out
    No NTLM
    No single signon
    No FBA failback
    No path redirection

    It is a shame that I am most disappointed in the feature I was attracted to - in every other way I can think of, it is an excellent product.
Reply
  • 0
    Frankly, I'm strongly inclined to put TMG behind another UTM and keep using it just for reverse proxying until support runs out in 2020.

    I, presumably like all the other TMG refugees here, was attracted to Sophos over the alternatives because of WAF but in testing I can see that isn't going to work out;

    No reliable sign-out
    No NTLM
    No single signon
    No FBA failback
    No path redirection

    It is a shame that I am most disappointed in the feature I was attracted to - in every other way I can think of, it is an excellent product.
Children
  • 0 in reply to Boris60
    Good news is that Sophos Dev team have acknowledged this and are working on it under bug ticket number 29713

    Bad news is that it's not easy to implement this functionality and they cannot give a timeframe, but do say it won't be in the next version(s).

    It's a shame we can't get some more weight behind this.[:(]
  • 0 in reply to Boris60
    Frankly, I'm strongly inclined to put TMG behind another UTM and keep using it just for reverse proxying until support runs out in 2020.

    I, presumably like all the other TMG refugees here, was attracted to Sophos over the alternatives because of WAF but in testing I can see that isn't going to work out;

    No reliable sign-out
    No NTLM
    No single signon
    No FBA failback
    No path redirection

    It is a shame that I am most disappointed in the feature I was attracted to - in every other way I can think of, it is an excellent product.

    I am looking at Sophos as our TMG replacement and I am confused by your comments...

    No NTLM - Is that correct?

    No single signon - I just did a webex where they showed that the device can be domain joined and do SSO...is that not accurate?

    No path redirection  - isn't that what the "Site path routing" is in the UTM?

    Is the Sophos working for you?
    DG
Unfiltered HTML