「拡張保護」なしの非IEブラウザ用のAD FSへのNTLM認証はオフになりましたか?
-
26-10-2019 - |
質問
Google ChromeまたはFirefox 3.5+をWindowsで実行しているGoogle ChromeまたはFirefox 3.5+からNTLM認証をAD FS 2.0に使用すると、サインインダイアログが繰り返され、最終的にサインイン失敗が行われ、「Status:0XC000035B」の「監査失敗」イベントが行われます。
これは、IISの「/ADFS/LS」Webアプリケーションの「拡張保護」をオフにすることで「解決」できます。これはいくつかの場所で文書化されています。見る 別のStackOverFlowの質問に対する私の答え 詳細については。
私の質問は次のとおりです。どのようにしてこれらのブラウザでad fsにntlm認証を機能させることができますか それなし 「拡張保護」をオフにしますか?つまり、インターネットエクスプローラーでは、これは「拡張保護」をオンにして正常に機能します。なぜChromeやFirefoxはいないのですか?それとも、これはWindows NTLMライブラリの使用におけるChrome/Firefoxの実装バグ/制限ですか?
アップデート: 人々にブラウザの設定を変更することを強制せずにこれをやりたいと言っておくべきでした。
解決
によると
- http://technet.microsoft.com/en-us/library/hh237448(v=ws.10).aspx
- http://support.microsoft.com/kb/2461628/en-us
これはChrome / Firefox / Safari実装の制限です。
- クライアントはWindows 7を実行しています と サーバーにはあります
ExtendedProtectionTokenCheck
に設定Require
またAllow
- クライアントはWindows XPまたはVistaを実行しています - 適切な更新なし(!) と サーバーにはあります
ExtendedProtectionTokenCheck
に設定Require
たぶん、あなたはこれであなたのクライアントの拡張保護を抑制することができます:http://support.microsoft.com/kb/976918/en-us
[...]
拡張された保護挙動を制御するには、次のレジストリサブキーを作成します。
キー名: hkey_local_machine system currentControlset control lsa
値名: 抑制された保護
タイプ: dwordCBTを正しく処理しない非windows Kerberosサーバーによって認証されないチャネルバインディングをサポートするWindowsクライアントの場合:
1. レジストリエントリ値を「0x01.”
これにより、KerberosがCBTトークンを放出しないように設定し、未満のアプリケーションになります。
2. それが問題を解決しない場合は、レジストリエントリ値を「」に設定します。0x03.”
これにより、KerberosがCBTトークンを放出しないように設定します。[...]
他のヒント
拡張保護は、Kerberosのチケットリプレイ攻撃を防ぐために設計されました。
私が理解しているように、ADFSのデフォルトは「フードの下」を処理するWindows統合認証であるため、IEで機能します。
しばらく前にこれを調査したとき、正しく覚えていれば、Firefoxの回避策があります。