Active Directory设置:我使用的是配置了Kerberos DES加密的Active Directory用户帐户,并且在Windows Server 2012 r2中也具有Kerberos预身份验证.
IE设置:Internet和可信站点的IE安全设置将用户身份验证设置为“使用当前用户名和密码自动登录”(自动登录Windows当前用户). ADFS和Apache应用程序的域将添加到允许的站点中.
Windows Server 2012 r2 ADFS设置:使用ADFS配置Windows Server 2012 r2,并启用SAML和Kerberos端点.
Shibboleth SP设置:Shibboleth SP在Apache中运行,并配置为使用SAML.
成功发生的事情:Windows用户帐户可以使用IE9和最新版本成功登录任何Windows 7操作系统及以上版本. Windows用户登录Apache应用程序后没有提示. Windows用户立即被定向到使用Shibboleth SP配置的Apache应用程序.
怎么了?每当我访问谷歌浏览器或Firefox时,它都不会立即指向安全的应用程序内容页面.相反,它将Windows用户连接到ADFS登录屏幕并且登录失败(因为它似乎使用来自Active Directory设置的Kerberos,ADFS不在登录屏幕上使用).
目标:假设Google Chrome使用Internet Explorer中的安全设置,登录Apache应用程序应该没有麻烦.
那么,如何正确配置Google Chrome(或任何其他配置)以允许Windows用户自动登录到Apache应用程序?
更新
openSAML::FatalProfileException at (https://c-app01.contoso.com/Shibboleth.sso/SAML2/POST)
SAML response reported an IdP error.
Error from identity provider:
Status: urn:oasis:names:tc:SAML:2.0:status:Responder
铬
要配置chrome,您需要启动应用程序以下参数:
> auth-server-whitelist – 允许的FQDN – 设置IdP的FQDN@H_403_32@Server.Example:
chrome –auth-server-whitelist=”*aai-logon.domain-a.com”
火狐浏览器
要访问Firefox设置,请在地址栏中输入about:config并按[Enter].这将为当前安装的浏览器提供一长串可自定义的首选项.@H_403_32@您需要将IdP服务器的FQDN(完全限定域名)添加到可信URI列表中:
> network.negotiate-auth.trusted-uris – IdP服务器的FQDN.
Firefox – 高级配置
注意:这些选项仅适用于“高级”用户!@H_403_32@如果您的操作系统没有集成GSSAPI(如某些Linux发行版).您可以指定所需的外部库:
> network.negotiate-auth.gsslib – (默认值:空) – 指定一个@H_403_32@备用GSSAPI共享库.@H_403_32@> network.negotiate-auth.using-native-gsslib – 通知“本机”@H_403_32@(true)或将使用外部(错误)GSSAPI库.
以下是有关协商/身份验证的其他设置:
> network.negotiate-auth.delegation-uris(默认值:空) – 为此将允许(可信)FQDN凭证委派.> network.negotiate-auth.allow-proxies(默认值:true) – 启用代理使用negotiate方法进行身份验证.> network.auth.use-sspi(仅限Windows,默认值:true) – 是否为使用Microsoft的SSPI库,如果禁用则使用GSSAPI.
