Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 17960 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Forms Authentication changes URL for OWA

TrotterD
Hello all, hope you are well.

I am new to using Sophos UTM as I am involved in a project to replace a couple of TMG Servers. I like the product and it seems pretty easy to configure.

I am having a slight issue with publishing Outlook Web App at the moment which I am looking for help with. I think I am nearly there but experiencing an authentication problem.

I have run through the Sophos guide regarding the publishing of Outlook Web App and have chosen the option to use Forms Based Authentication with pass through to Basic authentication. I get an error of DENIED in the logs when I enter the Active Directory username and password, but I know I am using the correct details.

If I change the settings of my /owa site path route to the other reverse authentication method of Basic authentication with pass through to Basic I can enter the username and password and it works fine.

What I notice when using the Forms Based Authentication with pass through to Basic when browsing to the Outlook Web App URL it modifies the URL to:

https://mail.domain.com/owa_zveanwqfuhx_form

So I am not sure if this is normal, I feel like the firewall is blocking access because there is no site path for /owa_zveanwqfuhx_form 

Has anybody else come across this or similar.

Thanks in advance.


This thread was automatically locked due to age.
Parents
  • 0
    https://mail.domain.com/owa_zveanwqfuhx_form


    This is just WAF's internal URL for the login form. You don't need a site path configuration for it.

    In your test, you used the same reverse authentication profile and simply switched from mode Form to Basic? Then double-check the credentials you enter. Internally it makes no difference whether you use mode Form or Basic.

    Post the relevant sections from reverseproxy.log and aua.log when you repeat your test.
  • 0 in reply to ewadie
    Hi ewadie, hope you are well.

    Apologies for not getting back sooner. I have been doing more tests with this and gone back to basics.

    The root cause of the problem I think is to do with the Active Directory Authentication Server I have created. When I test the Bind DN it reports that it passes. If I Test the Base DN it reports DENIED and that the no groups could be found for this user. The Authentication logs report:

    2015:10:26-16:26:22 SOPHOSUTM9-1 aua[14610]: id="3006" severity="info" sys="System" sub="auth" name="Authentication test request: m:adirectory, f:none, u[:D]OMAIN1\John.Smith, ip:0.0.0.0, host:" 

    2015:10:26-16:26:22 SOPHOSUTM9-1 aua[14610]: id="3006" severity="info" sys="System" sub="auth" name="Testing method adirectory" 

    2015:10:26-16:26:22 SOPHOSUTM9-1 aua[14610]: id="3006" severity="info" sys="System" sub="auth" name="Trying 10.172.0.59 (adirectory)" 

    2015:10:26-16:26:22 SOPHOSUTM9-1 aua[14610]: id="3006" severity="info" sys="System" sub="auth" name="Authentication test failed: " 


    I am using the Base DN of:

     DC=DOMAIN1,DC=local

    So until I get this to work I suspect this is why the Outlook Web App is failing.

    Any Suggestions on what to do.

    Thanks in advance.


    Dave
  • 0 in reply to TrotterD
    2015:10:26-16:26:22 SOPHOSUTM9-1 aua[14610]: id="3006" severity="info" sys="System" sub="auth" name="Authentication test request: m:adirectory, f:none, u[:D]OMAIN1\John.Smith, ip:0.0.0.0, host:"


    When you enter your credentials, just use the username (John.Smith), don't add DOMAIN1\ in front of it.
  • 0 in reply to ewadie
    Hi Ewadie, hi Bob, thanks for the reply.

    Ok, I have tested the Authentication test again just using firstname.lastname and the Authentication test passes. Although the message appears "No groups have been found for this user".

    If I go to Definitions & Users -> Users & Groups and then click the Groups tab. I can create a new group and call it "Domain Users". Then I can choose "Backend membership" then "Active Directory" and then tick the box to "Limit to backend groups membership". I then get the option to browse my Active Directory and drag and drop the security group "Domain Users" from the default Users container.

    I guess that is expected operation.

    When retesting Outlook Web App, I still see DENIED authentication in the Log when using reverse authentication.

    If I remove the authentication profile from the "Site Path Routing" the Basic authentication goes direct to the backend Exchange server and allows access. So its only when the Sophos UTM is performing the reverse authentication regardless of using Forms or Basic with pass through.

    I am thinking of upgrading the firmware version from 9.314-13 to 9.350-12 to see if it is a bug in the firmware version I am using.

    Regards,

    Dave
  • 0 in reply to TrotterD
    Hello again.

    Hmmmm, I think I have made some progress.

    I have tried using username without the domain prefix on the forms logon and it has started to work.

    I must admit I have been trying with and without the domain prefix in the username and been getting DENIED with both. So I think the problem was related to one of the other two things I have changed.

    1. Changed the "Domain Users" group to not "Limit to backup group(s) membership.

    2. For the Real Webserver configured a "Username affix" Prefix with the Domain1\

    Probably more relating to 1. so will do a bit more testing be reverting the changes to see if I can re break it.

    Thanks Dave.
Reply
  • 0 in reply to TrotterD
    Hello again.

    Hmmmm, I think I have made some progress.

    I have tried using username without the domain prefix on the forms logon and it has started to work.

    I must admit I have been trying with and without the domain prefix in the username and been getting DENIED with both. So I think the problem was related to one of the other two things I have changed.

    1. Changed the "Domain Users" group to not "Limit to backup group(s) membership.

    2. For the Real Webserver configured a "Username affix" Prefix with the Domain1\

    Probably more relating to 1. so will do a bit more testing be reverting the changes to see if I can re break it.

    Thanks Dave.
Children
No Data
Unfiltered HTML