This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Using upn or domain\user to logon

Hi,

I'm in the middle of phasing out our Microsoft TMG server and publishing Exchange 2013 with UTM. I've got reverse authentication with Active Sync working using the e-mail address (UPN) as the user name. The problem is that all our users have configured their devices using domain\username style logon instead of the UPN. To prevent having all users to change their logon in their account, is it possible to configure reverse authentication in such a way that it accepts both types of logon? I haven't been able to get this working yet. It's one or the other, but not both.

Any ideas?

Franc.


This thread was automatically locked due to age.
  • The only way I can think of would be a separate public IP for each approach, but that would mean a config change for the clients.

    It's worth asking Sophos Support the question  Please let us know if there's a way to have our cake and eat it, too. [;)]

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hi Bob,

    I can't even get it to work when I only enable AD authentication and disable LDAP (used for logon using the email address). Looks like AD authentication only accepts username/password.

    Franc.
  • I am migrating from TMG to UTM too. 
    I am testing to publish our Exchange. For me, it is working with DOMAIN\name and name@domain.com.
    I have to use Reverse Authentication Profile "RevAuth_Form_Basic_RAD_AD_LDAP" in Site Path Routing rule. 
    "RevAuth_Form_Basic_RAD_AD_LDAP" has:
    mode - form
    form template - my own simmilar as TMG
    groups: this is important
    1. group - backend - RADIUS - this one authenticate accounts in syntax DOMAIN\name
    2. group - backend - LDAP - chceck attribute "memberOf" for AD group (CN=group name,OU=Groups,OU=HQ,DC=company,DC=com)  - this one authenticate accounts in syntax name@domain.com (but it can not use nested groups, it works only with groups with users inside)
    3. group - backend - AD - limit to backend group membership - this one authenticate accounts in syntax name

    I have all these auth. methods configured in: Definitions - Auth Services - Servers in this order:
    AD
    LDAP (user attribute >, custom: userPrincipalname, base DN: DC=company,DC=com)
    RADIUS
  • Hi Mato,

    thanks. That did the trick. I hadn't configured RADIUS at all. Now that I've configured it, it works fine using domain\username

    It took a while to get it working with the reverse proxy, the NAS Identifier 'reverseproxy' has to be used on the Windows server, but it's no where mentioned in the docs or help in UTM that this identifier even exists. Had to find out using the live logs.

    Also you have to enable PAP/SPAP on the Microsoft NPS server in order to get it working, but NPS warns this is an insecure authentication method.
  • Hello,

    I know this is an old post but I've just found this in the forums.  Could you give me a run down on how you set up your radius server

    and the utm to get domain\user reverse authentication working?

  • I know this is an old post however people may be struggling with the same issue.

    I've just used the following link to successfully set up RADIUS to work with UTM 9 on F/W: 9.502-4

    http://techbast.com/2015/12/radius-authentication-between-sophos-utm-and-windows-server-2012.html

  • Thanks, Chris.  You might be interested in a wiki article here: Using LDAP with Active Directory.

    Cheers - Bob

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA