windows-server-2012-r2 – 将Google Chrome配置为连接到配置了Kerberos和使用ADFS的AD

前端之家收集整理的这篇文章主要介绍了windows-server-2012-r2 – 将Google Chrome配置为连接到配置了Kerberos和使用ADFS的AD前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我正在尝试将Google Chrome(和Firefox)配置为使用通过ADFS SAML / Kerberos端点和使用Shibboleth的Apache应用程序进行隧道传输的Active Directory进行身份验证.以下是我在每台机器中的一些设置.

Active Directory设置:我使用的是配置了Kerberos DES加密的Active Directory用户帐户,并且在Windows Server 2012 r2中也具有Kerberos预身份验证.

IE设置:Internet和可信站点的IE安全设置将用户身份验证设置为“使用当前用户名和密码自动登录”(自动登录Windows当前用户). ADFS和Apache应用程序的域将添加到允许的站点中.

Windows Server 2012 r2 ADFS设置:使用ADFS配置Windows Server 2012 r2,并启用SAML和Kerberos端点.

Shibboleth SP设置:Shibboleth SP在Apache中运行,并配置为使用SAML.

成功发生的事情:Windows用户帐户可以使用IE9和最新版本成功登录任何Windows 7操作系统及以上版本. Windows用户登录Apache应用程序后没有提示. Windows用户立即被定向到使用Shibboleth SP配置的Apache应用程序.

怎么了?每当我访问谷歌浏览器或Firefox时,它都不会立即指向安全的应用程序内容页面.相反,它将Windows用户连接到ADFS登录屏幕并且登录失败(因为它似乎使用来自Active Directory设置的Kerberos,ADFS不在登录屏幕上使用).

目标:假设Google Chrome使用Internet Explorer中的安全设置,登录Apache应用程序应该没有麻烦.

那么,如何正确配置Google Chrome(或任何其他配置)以允许Windows用户自动登录到Apache应用程序?

更新

错误我从Apache应用程序中收到以下错误

openSAML::FatalProfileException at (https://c-app01.contoso.com/Shibboleth.sso/SAML2/POST)

SAML response reported an IdP error.

Error from identity provider: 

    Status: urn:oasis:names:tc:SAML:2.0:status:Responder
对Chrome和Firefox使用“系统登录凭据”(Kerberos身份验证机制)有不同的配置.

要配置chrome,您需要启动应用程序以下参数:

> auth-server-whitelist – 允许的FQDN – 设置IdP的FQDN
Server.Example:

chrome –auth-server-whitelist=”*aai-logon.domain-a.com”

在“登录页面”中,您可以找到正确的FQDN:

Example for Login page

火狐浏览器

要访问Firefox设置,请在地址栏中输入about:config并按[Enter].这将为当前安装的浏览器提供一长串可自定义的首选项.
您需要将IdP服务器的FQDN(完全限定域名)添加到可信URI列表中:

> network.negotiate-auth.trusted-uris – IdP服务器的FQDN.

Example for Configuration

在“登录页面”中,您可以找到正确的FQDN

Firefox – 高级配置

注意:这些选项仅适用于“高级”用户
如果您的操作系统没有集成GSSAPI(如某些Linux发行版).您可以指定所需的外部库:

> network.negotiate-auth.gsslib – (默认值:空) – 指定一个
备用GSSAPI共享库.
> network.negotiate-auth.using-native-gsslib – 通知“本机”
(true)或将使用外部(错误)GSSAPI库.

以下是有关协商/身份验证的其他设置:

> network.negotiate-auth.delegation-uris(默认值:空) – 为此将允许(可信)FQDN凭证委派.> network.negotiate-auth.allow-proxies(默认值:true) – 启用代理使用negotiate方法进行身份验证.> network.auth.use-sspi(仅限Windows,默认值:true) – 是否为使用Microsoft的SSPI库,如果禁用则使用GSSAPI.

猜你在找的Windows相关文章