Проверка подлинности NTLM в AD FS для браузера без IE без "расширенной защиты" отключена?
при использовании проверки подлинности NTLM для AD FS 2.0, из Google Chrome или Firefox 3.5+, работающего в Windows, это приводит к повторному диалогу входа и, наконец, сбою входа, с событиями "Audit Failure" с "Status: 0xc000035b".
Это можно "решить", отключив" расширенную защиту "для веб-приложения" /adfs/ls " в IIS. Это задокументировано в нескольких местах; см. мой ответ на другой вопрос StackOverflow для сведения.
мой вопрос: как можно заставить аутентификацию NTLM для AD FS работать для этих браузеров без выключение "расширенной защиты"? Я имею в виду, что в Internet Explorer это отлично работает с "расширенной защитой", почему бы не Chrome или Firefox? Или это ошибка/ограничение реализации Chrome/Firefox, например, при использовании библиотеки NTLM Windows?
обновление: Я должен был упомянуть, что я хотел бы сделать это, не заставляя людей вносить изменения в их настройки браузера.
2 ответов
по данным
- http://technet.microsoft.com/en-us/library/hh237448 (v=ws.10).aspx
- http://support.microsoft.com/kb/2461628/en-us
это ограничение реализации Chrome / Firefox / Safari, Если
- клиент работает под управлением Windows 7 и сервер
ExtendedProtectionTokenCheck
набор вRequire
илиAllow
- клиент работает под управлением Windows XP или Vista - без соответствующих обновлений(!) и сервер
ExtendedProtectionTokenCheck
набор вRequire
возможно, вы можете подавить расширенную защиту своих клиентов с помощью этого: http://support.microsoft.com/kb/976918/en-us
[...]
Чтобы управлять поведением расширенной защиты, создайте следующее подраздел реестра:
Введите Имя: Раздел HKEY_LOCAL_MACHINE\система\CurrentControlSet на\контроль\Нуа
Значение Имени: SuppressExtendedProtection
тип: DWORDдля клиентов Windows, поддерживающих привязку каналов, которые не аутентификация на серверах Kerberos не Windows, которые не обрабатывают ТОС правильно:
1. установите значение записи реестра в "0х01."
это настройка Kerberos не выдавать токены CBT для неоткрытых приложений.
2. если это не решит проблему, установите запись реестра значение "0x03."
это настроит Kerberos никогда не испускать CBT жетоны.[...]
Расширенная защита была разработана для предотвращения атак воспроизведения билетов kerberos.
Как я понимаю, он работает в IE, потому что по умолчанию для ADFS является встроенной аутентификацией Windows, которая IE обрабатывает "под капотом".
когда я исследовал это некоторое время назад, если я правильно помню, есть обходной путь для Firefox.