l'authentification NTLM à AD FS pour navigateur non-IE sans « protection étendue » éteint?
https://stackoverflow.com/questions/6309210
-
26-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Lorsque vous utilisez l'authentification NTLM à AD FS 2.0, Google Chrome ou Firefox 3.5+ fonctionnant sous Windows, puis cela se traduit par une boîte de dialogue répétée connexion et enfin signer en échec, avec des événements « d'échec de la vérification » avec « Statut: 0xc000035b ».
Cela peut être 'réglé' en éteignant 'Protection étendue' pour l'application web "/ adfs / ls" dans IIS. Ceci est documenté dans plusieurs endroits; voir ma réponse à une autre question StackOverflow pour plus de détails.
Ma question est: Comment peut-on faire l'authentification NTLM au travail AD FS pour ces navigateurs sans arrêt 'protection étendue'? Je veux dire, dans Internet Explorer cela fonctionne très bien avec « Protection étendue », pourquoi ne pas Chrome ou Firefox? Ou est-ce un bug de mise en œuvre Chrome / Firefox / restriction, par exemple, dans leur utilisation de la bibliothèque Windows NTLM?
Mise à jour:. Je aurais dû mentionner que je voudrais faire cela sans forcer les gens à faire des changements dans les paramètres du navigateur
La solution
Selon
- http://technet.microsoft.com /en-us/library/hh237448(v=ws.10).aspx
- http://support.microsoft.com/kb/2461628/en-us
est une restriction de mise en œuvre Chrome / Firefox / Safari si
- le client exécute Windows 7 et le serveur a
ExtendedProtectionTokenCheckensemble àRequireouAllow - le client fonctionne sous Windows XP ou Vista - (!) Sans mises à jour appropriées et le serveur a
ExtendedProtectionTokenCheckensemble àRequire
Peut-être que vous pouvez supprimer la protection prolongée sur vos clients avec ceci: http://support.microsoft.com/kb/976918/en-us
[...]
Pour contrôler le comportement de protection étendue, créer les éléments suivants clé de Registre:
Nom de la clé: HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ LSA
Nom de la valeur: SuppressExtendedProtection
Type: DWORDPour les clients Windows que cette liaison de canaux de soutien ne parviennent pas à être authentifié par les serveurs Kerberos non-Windows qui ne gèrent pas CBT correctement:
1. Définir la valeur d'entrée de Registre « 0x01 . »
Cette volonté configurer Kerberos ne pas émettre de jetons CBT pour les applications non corrigées.
2. Si cela ne résout pas le problème, définissez l'entrée de registre valeur à « 0x03 . »
Ce configurera Kerberos ne jamais émettre CBT jetons.[...]
Autres conseils
Protection étendue a été conçu pour éviter kerberos attaques de relecture des billets.
Si je comprends bien, cela fonctionne dans IE, car la valeur par défaut pour ADFS est l'authentification Windows intégrée qui poignées IE « sous le capot ».
Quand j'enquêté sur cet un certain temps, si je me souviens bien, il y a une solution de contournement pour Firefox.
