Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 1 subscriber
  • Views 17967 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Exchange + Reverse Authentication + Logout

pfeigl
Hi,

we are running Exchange 2013 SP1 and are using our Sophos UTM as WAF. We also use the reverse authentication feature to handle logins completely through the UTM before passing the user to the Exchange OWA.

While setting this up was quite a task, it now works pretty well - with one exception. After setting the Exchange Server to Basic authentication (which is a requirement for reverse auth), the "Logout" button within OWA only displays a small popup "Please close all your browser windows now". See the attached screenshot for this.

But the user is not really logged out upon clicking the button. 

Forefront TMG had a feature to specify a specific logoff URL which was used to logout the user. They probably "hacked" this URL into the exchange OWA while doing the proxying - but thats just a rough guess.

Is there some way to get an real "Logoff" done using Exchange 2013 + UTM with reverse auth?

Thanks for your support,
Philipp


This thread was automatically locked due to age.
Parents
  • 0
    Hi DG,

    Apologies, somehow your post slipped by me, just seeing it now.

    1 - Correct, no NTLM

    2 - No Single Sign-On (although there is reverse authentication. For example you can't just sign into *.domain.com then go straight through to any other site on domain.com. Frustratingly, this even applies to somebody clicking Settings on OWA, then being prompted to re-authenticate for ECP.

    3 - Site Path Routing allows you to route to a particular backend server depending on path, but it wouldn't allow you to redirect to another path. You couldn't for, for example redirect outlook.com to outlook.com/owa.

    Otherwise loving Sophos - prefer it to TMG for everything other than WAF (which I am not using. Have TMG behind Sophos just for web publishing).
Reply
  • 0
    Hi DG,

    Apologies, somehow your post slipped by me, just seeing it now.

    1 - Correct, no NTLM

    2 - No Single Sign-On (although there is reverse authentication. For example you can't just sign into *.domain.com then go straight through to any other site on domain.com. Frustratingly, this even applies to somebody clicking Settings on OWA, then being prompted to re-authenticate for ECP.

    3 - Site Path Routing allows you to route to a particular backend server depending on path, but it wouldn't allow you to redirect to another path. You couldn't for, for example redirect outlook.com to outlook.com/owa.

    Otherwise loving Sophos - prefer it to TMG for everything other than WAF (which I am not using. Have TMG behind Sophos just for web publishing).
Children
No Data
Unfiltered HTML