Проверка подлинности NTLM в AD FS для браузера без IE без "расширенной защиты" отключена?

Question

Проверка подлинности NTLM в AD FS для браузера без IE без "расширенной защиты" отключена?

при использовании проверки подлинности NTLM для AD FS 2.0, из Google Chrome или Firefox 3.5+, работающего в Windows, это приводит к повторному диалогу входа и, наконец, сбою входа, с событиями "Audit Failure" с "Status: 0xc000035b".

Это можно "решить", отключив" расширенную защиту "для веб-приложения" /adfs/ls " в IIS. Это задокументировано в нескольких местах; см. мой ответ на другой вопрос StackOverflow для сведения.

мой вопрос: как можно заставить аутентификацию NTLM для AD FS работать для этих браузеров без выключение "расширенной защиты"? Я имею в виду, что в Internet Explorer это отлично работает с "расширенной защитой", почему бы не Chrome или Firefox? Или это ошибка/ограничение реализации Chrome/Firefox, например, при использовании библиотеки NTLM Windows?

обновление: Я должен был упомянуть, что я хотел бы сделать это, не заставляя людей вносить изменения в их настройки браузера.

6

adfs adfs2.0 firefox google-chrome ntlm

автор: Community

2 ответов

автор: oleschri · Accepted Answer · 2011-07-27 11:53:36

по данным

это ограничение реализации Chrome / Firefox / Safari, Если

клиент работает под управлением Windows 7 и сервер ExtendedProtectionTokenCheck набор в Require или Allow
клиент работает под управлением Windows XP или Vista - без соответствующих обновлений(!) и сервер ExtendedProtectionTokenCheck набор в Require

возможно, вы можете подавить расширенную защиту своих клиентов с помощью этого: http://support.microsoft.com/kb/976918/en-us

[...]
Чтобы управлять поведением расширенной защиты, создайте следующее подраздел реестра:
Введите Имя: Раздел HKEY_LOCAL_MACHINE\система\CurrentControlSet на\контроль\Нуа
Значение Имени: SuppressExtendedProtection
тип: DWORD

для клиентов Windows, поддерживающих привязку каналов, которые не аутентификация на серверах Kerberos не Windows, которые не обрабатывают ТОС правильно:
1. установите значение записи реестра в "0х01."
это настройка Kerberos не выдавать токены CBT для неоткрытых приложений.
2. если это не решит проблему, установите запись реестра значение "0x03."
это настроит Kerberos никогда не испускать CBT жетоны.

[...]

автор: nzpcmad · Accepted Answer · 2011-06-23 20:39:25

Расширенная защита была разработана для предотвращения атак воспроизведения билетов kerberos.

Как я понимаю, он работает в IE, потому что по умолчанию для ADFS является встроенной аутентификацией Windows, которая IE обрабатывает "под капотом".

когда я исследовал это некоторое время назад, если я правильно помню, есть обходной путь для Firefox.