NTLM-Authentifizierung mit AD FS für nicht-IE-browser, ohne die "Extended Protection" abgeschaltet?

Wenn die NTLM-Authentifizierung verwenden von AD FS 2.0, Google Chrome oder Firefox 3.5+, das auf Windows läuft, dann werden diese Ergebnisse bei einer Wiederholung der sign-in-dialog und schließlich Fehlers anmelden, mit "Audit Failure" - Veranstaltungen mit "Status: 0xc000035b".

Das kann 'gelöst' durch ausschalten der "Erweiterte Schutz" für die "/adfs/ls" web-Anwendung im IIS. Dies ist dokumentiert in mehreren Orten; siehe meine Antwort zu einem anderen StackOverflow-Frage für details.

Meine Frage ist: Wie kann man die NTLM-Authentifizierung auf dem AD FS-Arbeit für diese Browser ohne ausschalten "Erweiterten Schutz"? Ich meine, im Internet Explorer funktioniert dies gut mit "Erweiterten Schutz" auf, warum nicht Chrome oder Firefox? Oder ist dies eine Chrome/Firefox Umsetzung Fehler/Beschränkung, z.B. bei der Nutzung des Windows-NTLM-Bibliothek?

Update: ich sollte erwähnt haben, dass ich möchte, um dies zu tun, ohne Leute zu zwingen, änderungen in Ihren browser-Einstellungen.

InformationsquelleAutor MarnixKlooster ReinstateMonica | 2011-06-10
  1. 10

    Laut

    dies ist eine Chrome /Firefox /Safari Umsetzung Einschränkung, wenn

    • auf dem client läuft Windows 7 und der server hat ExtendedProtectionTokenCheck eingestellt
      Require oder Allow
    • auf dem client läuft Windows XP oder Vista ohne entsprechende updates(!) und der server hat ExtendedProtectionTokenCheck eingestellt
      Require

    Vielleicht können Sie unterdrücken Erweiterten Schutz bei Ihren Kunden mit diesem:
    http://support.microsoft.com/kb/976918/en-us

    [...]

    Zur Steuerung der erweiterten Schutz Verhalten, erstellen Sie den folgenden
    Registrierungsunterschlüssel:

    Key-Name: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    Wert-Name: SuppressExtendedProtection

    Typ: DWORD

    Für Windows-clients unterstützen, die Kanal-Bindung, die Versagen
    authentifiziert werden, die nicht-Windows-Kerberos-Server, die nicht behandeln
    das CBT richtig:

    1. Setzen Sie den Registrierungseintrag auf den Wert "0x01."
    Dies wird
    konfigurieren der Kerberos-nicht zu emittieren CBT-Token für nicht gepatchte Anwendungen.

    2. Wenn das nicht beheben das problem, dann setzen Sie den Registrierungseintrag
    der Wert "0x03."
    Dadurch wird das konfigurieren der Kerberos-nie zu emittieren CBT
    Token.

    [...]

    • Und das Kopfgeld ist kommen Sie Ihren Weg. Danke!!
    • Cool, thx 🙂 - Hast den registry-hack Arbeit für Sie dann?
    • Noch nicht in der Lage zu überprüfen, den registry-hack noch nicht, aber ich war auf der Suche für eine serverseitige Einstellung, und das ist, was die verlinkten docs bieten. Auf diese Weise können wir unsere Kunden sagen: "tut mir Leid, non-IE funktioniert nicht ohne diese serverseitige Einstellung, siehe hier für MSFT ist information." Aber wenn ich versuche, den registry-hack, werde ich das kommentieren hier.
    • Der registry-hack hat bei mir mit Chrome. Unmittelbar nach dem erstellen der SuppressExtendedProtection=0x1 Wert, ich war in der Lage, melden Sie sich in office365.com nach nur einem Passwort-dialog, in der Erwägung, dass vor es würden immer wieder Fragen, Anmeldeinformationen, bis Sie scheitern.
    InformationsquelleAutor oleschri
  2. 0

    Erweiterten Schutz soll verhindert werden, dass kerberos-ticket replay-Angriffe.

    Wie ich es verstehe, funktioniert es im IE, weil der Standard für ADFS ist die Integrierte Windows-Authentifizierung, die IE Griffe "unter der Haube".

    Wenn ich untersuchte diese eine Weile zurück, wenn ich mich richtig erinnere, gibt es ein workaround für den Firefox.

    • Dies nicht wirklich meine Frage beantworten, ich denke, die mehr über die warum IWA (Integrierte Windows-Authentifizierung) verhält sich unterschiedlich, zwischen IE und Firefox/Chrome. Aber ich wäre daran interessiert zu wissen, was man ändern muss auf der client-Seite, damit Firefox funktioniert.
    InformationsquelleAutor nzpcmad
Schreibe einen Kommentar