Проверка подлинности NTLM в AD FS для браузера без IE без выключенной расширенной защиты? - PullRequest
Новая
       24

Проверка подлинности NTLM в AD FS для браузера без IE без выключенной расширенной защиты?

6 голосов
/ 10 июня 2011

При использовании проверки подлинности NTLM для AD FS 2.0 из Google Chrome или Firefox 3.5+, работающего в Windows, это приводит к повторному диалоговому окну входа и, наконец, к ошибке входа, с событиями «Ошибка аудита» с «Статусом:0xc000035b ".

Эту проблему можно решить, отключив" Расширенная защита "для веб-приложения" / adfs / ls "в IIS.Это задокументировано в нескольких местах;см. мой ответ на другой вопрос StackOverflow для получения подробной информации.

Мой вопрос таков: как можно заставить NTLM-аутентификацию в AD FS работать для этих браузеров без выключения 'ExtendedЗащита "?Я имею в виду, что в Internet Explorer это нормально работает с «Расширенной защитой», почему не Chrome или Firefox?Или это ошибка / ограничение реализации Chrome / Firefox, например, при использовании библиотеки Windows NTLM?

Обновление: Я должен был упомянуть, что хотел бы сделать это безпринуждать людей вносить изменения в настройки своего браузера.

Ответы [ 2 ]

10 голосов
/ 27 июля 2011

Согласно

это ограничение реализации Chrome / Firefox / Safari, если

  • клиент работает под управлением Windows 7 и на сервере ExtendedProtectionTokenCheck установлено Require или Allow
  • клиент работает под управлением Windows XP или Vista - без соответствующегообновлений (!) и на сервере ExtendedProtectionTokenCheck установлено значение Require

Возможно, вы можете отключить расширенную защиту для своих клиентов с помощью этого: http://support.microsoft.com/kb/976918/en-us

[...]Чтобы управлять расширенной защитой, создайте следующий раздел реестра: Имя ключа: HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ LSA Имя значения: SuppressExtendedProtection Тип: DWORD

Для клиентов Windows, которые поддерживают привязку каналов, которые не могут быть аутентифицированы серверами Kerberos не-Windows, которые не обрабатывают CBT правильно: 1. Установите значение записи реестра в « 0x01 ».Это заставит Kerberos не испускать токены CBT для непатентованных приложений. 2. Если это не решит проблему, установите значение записи реестра в « 0x03 ».Это позволит Kerberos никогда не испускать токены CBT.

[...]

0 голосов
/ 24 июня 2011

Расширенная защита была разработана для предотвращения атак воспроизведения билетов Kerberos.

Насколько я понимаю, он работает в IE, поскольку по умолчанию для ADFS используется встроенная аутентификация Windows, которую IE обрабатывает "под капотом".

Когда я исследовал это некоторое время назад, если я правильно помню, для Firefox есть обходной путь.

...