gpt4 book ai didi

firefox - 在没有关闭 'Extended Protection' 的情况下,非 IE 浏览器对 AD FS 的 NTLM 身份验证?

转载 作者:行者123 更新时间:2023-12-04 14:05:27 28 4
gpt4 key购买 nike

在 Windows 上运行的 Google Chrome 或 Firefox 3.5+ 中对 AD FS 2.0 使用 NTLM 身份验证时,这会导致重复登录对话框并最终登录失败,“审核失败”事件为“状态:0xc000035b”。

这可以通过关闭 IIS 中“/adfs/ls”Web 应用程序的“扩展保护”来“解决”。这在几个地方都有记录;见 my answer to another StackOverflow question详情。

我的问题是:如何在不关闭“扩展保护”的情况下使 AD FS 的 NTLM 身份验证适用于这些浏览器?我的意思是,在 Internet Explorer 中,这在启用“扩展保护”的情况下可以正常工作,为什么 Chrome 或 Firefox 不行?或者这是 Chrome/Firefox 实现错误/限制,例如,在使用 Windows NTLM 库时?

更新:我应该提到我希望在不强制人们更改浏览器设置的情况下执行此操作。

最佳答案

根据

  • http://technet.microsoft.com/en-us/library/hh237448(v=ws.10).aspx
  • http://support.microsoft.com/kb/2461628/en-us

  • 这是 Chrome/Firefox/Safari 实现限制,如果
  • 客户端运行 Windows 7,服务器有 ExtendedProtectionTokenCheck设置RequireAllow
  • 客户端运行的是 Windows XP 或 Vista - 没有适当的更新(!)并且服务器有 ExtendedProtectionTokenCheck设置Require

  • 也许您可以通过以下方式抑制客户端的扩展保护:
    http://support.microsoft.com/kb/976918/en-us

    [...]
    To control the extended protection behavior, create the following registry subkey:
    Key Name: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
    Value Name: SuppressExtendedProtection
    Type: DWORD

    For Windows clients that support channel binding that are failing to be authenticated by non-Windows Kerberos servers that do not handle the CBT correctly:
    1. Set the registry entry value to “0x01.”
    This will configure Kerberos not to emit CBT tokens for unpatched applications.
    2. If that does not resolve the problem, then set the registry entry value to “0x03.”
    This will configure Kerberos never to emit CBT tokens.

    [...]

    关于firefox - 在没有关闭 'Extended Protection' 的情况下,非 IE 浏览器对 AD FS 的 NTLM 身份验证?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6309210/

    28 4 0
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com