Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 16713 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Different credentials for form and backend authentication

Hallowach2
Hi all,

I want to publish a Microsoft Reporting Services Server with WAF (9.209). I want to use form based frontend authentication and basic backend auth. That works as long as the frontend user (it is a local utm user) has the same credential as the backend user (thats an ad user).

Now I want to have the frontend user to have different credentials (rsa otp token) than the backend user. It would be accepted that the user has to type in two different credentials. The problem is that as soon the credentials are different the backend server keeps prompting for credentials and it seems like the given credentials never reach the backend server.

Did someone tried something like this successfully and if yes - how?

Regards
Manfred


This thread was automatically locked due to age.
  • 0
    I guess this should work.

    Does backend authentication work when you disable the reverse authentication profile on the frontend?

    What does your reverse authentication profile look like?
  • 0
    The problem is that as soon the credentials are different the backend server keeps prompting for credentials and it seems like the given credentials never reach the backend server.

    Manfred, I think you're stuck as the whole point of Reverse Auth is to request the backend credentials at the frontend.  My suggestion would be to delete the Local User Objects and then sync the Users from the AD.

    Ewald, short of having no authentication in the Real Server, how can he use Reverse Auth with duplicate usernames?

    Then again, Manfred, what happens if the user enters DOMAIN\USERNAME in the Reverse Auth form?  Does that force authentication with the AD?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Ewald, short of having no authentication in the Real Server, how can he use Reverse Auth with duplicate usernames?


    In the reverse auth profile set backend mode to "None" and let the backend do its own authentication. But I agree that using AD is probably the right solution here.
  • 0
    Today I've looked a little deeper into this Problem. 

    First of all - we have a requirement to use two-factor-authentication for external accesses (as far as possible) - so using ad accounts is not an option.

    If the backend mode is set to none or if the frontend credentials do not match the backend credentials, it seems that the secondly given credentials (for the backend) isn't passed to the backend server. The waf-log says:
    2014:11:28-14:56:55 verw-asg320-01-1 reverseproxy: [Fri Nov 28 14:56:55.739840 2014] [security2:error] [pid 15550:tid 3962952560] [client 192.168.130.24] ModSecurity: Access allowed (phase 1). Operator GT matched 0 at ENV. [file "/usr/apache/conf/waf/base.conf"] [line "18"] [id "900000"] [hostname "lalala.blablab.de"] [uri "/Reports/Pages/Report.aspx"] [unique_id "VHh-J6wXBAEAADy@REQAAAAU"]
     and the webservers logfile sees the request but without a user passed.

    The '(phase 1)' thing makes me believe, that the login form just forwards the first given credentials and the second given are stripped.

    Hm - if 9.3 would not be that buggy I would try that version, but for now it's to hot for us to go to that version.

    Regards
    Manfred
  • 0
    Hi Manfred,

    I think RSA should work if you configure the RSA server as a radius server. I've done this in the past with tmg. At the utm, you can configure the radius (RSA) server as authentication server.

    One example for citrix and rsa (radius):
    How to Implement RSA Authentication by using the RADIUS Protocol for Access Gateway Standard Edition

    Maybe, this helps you.

    Regards
    mod
  • 0
    Hi mod,

    RSA is already working for a long time. We are using it for SSL VPN and user portal access. The challange is to use rsa authentication in the frontend form and after successful login to the frontend an additional login to the reporting services webserver with ad credentials - so two different set of credentials.

    Regards
    Manfred
  • 0
    Hi Manfred,

    I understand. Have you tried in the reverse authentication profile "radius users" in user/groups? And as backend mode "none" as ewadie had suggested it?

    As I remember, I've tried this successfully in the 9.2 beta with a Celestix Hotpin OTP server as backend authentication server and with backend mode "basic". The hotpin server had synced the ad accounts.

    Regards
    mod
  • 0
    Hi all,

    today I tested successfully my disired configuration. In the end it is quite simple. I'm on 9.307 and some updates ago there was a new configuration option in the reverse authentication profiles : 'Real Webserver'.

    So I configured a reverse authentication profile with:
    Virtual Webserver:
     mode:form
     template: Default

    User:
     local user (user is 'remotly authenticated' and RSA Server is configured as radius server - that is already working for SSL VPN for a Long time)

    Real Webserver:
     mode:none
     remove Basic Header: unchecked

    I have enabled BasicAuthentication in the backend server itself (IIS).

    The result is, that on the first request to an URL with this Profile the reverse Proxy authentication form is presented. After a successful login the basic auth window comes up and here I can enter different credentials.

    And that is exactly what we wanted.

    Regards
    Manfred
  • 0

    We solve the issue in Version 9.403-4. Before Update we use Real Webserver in Basic Mode with none affix. After Update we use suffix at affix with @local.domain.

    Best regards,

    Thomas

Unfiltered HTML