Configuration de Google Chrome pour se connecter à AD Configuré avec Kerberos et Utilisation d'ADFS

J'essaie de configurer Google Chrome (et Firefox) pour l'authentifier à l'aide d'Active Directory tunneled via ADFS SAML / Kerberos Endpoints et une application Apache utilisant Shibboleth. Voici quelques parameters que j'ai dans chaque machine.

Paramètre Active Directory: j'utilise un count user Active Directory configuré avec Kerberos DES Encryption et j'ai également la préauthentification Kerberos dans Windows Server 2012 r2.

Paramétrage IE: Le paramètre de security IE pour Internet et les sites de confiance a l'authentification user définie sur «login automatique avec le nom d'user et le mot de passe actuels» (pour vous connecter automatiquement à l'user actuel de Windows). Les domaines pour ADFS et l'application Apache sont ajoutés dans les sites autorisés.

Windows Server 2012 r2 Paramètre ADFS: Windows Server 2012 r2 est configuré à l'aide d'ADFS avec les points d'extrémité SAML et Kerberos activés.

Shibboleth SP Setting: Le Shibboleth SP s'exécute dans Apache, et est configuré pour utiliser SAML.

Ce qui se passe avec succès: le count user Windows peut se connecter avec succès à n'importe quel operating system Windows 7 et ci-dessus en utilisant IE9 et le dernier. Il n'y a pas d'invite une fois que l'user de Windows se connecte à l'application Apache. L'user Windows est directement dirigé vers l'application Apache configurée avec Shibboleth SP.

Qu'est-ce qui ne va pas? Chaque fois que je vais à Google Chrome ou Firefox, il ne dirige pas directement sur la page de contenu sécurisé de l'application. Au lieu de cela, il connecte l'user Windows à un écran de connection ADFS et le login échoue (car il semble utiliser le paramètre Kerberos à partir de Active Directory, ADFS n'utilisant pas sur l'écran de connection).

But: En supposant que Google Chrome prend le paramètre de security à partir d'Internet Explorer, l'ouverture de session dans l'application Apache devrait fonctionner sans tracas.

Alors, comment configurer Google Chrome correctement (ou toute autre configuration) pour permettre à l'user Windows de se connecter automatiquement à l'application Apache?

Mettre à jour

Erreur, je reçois l'erreur suivante de l'application Apache:

openSAML::FatalProfileException at (https://c-app01.contoso.com/Shibboleth.sso/SAML2/POST) SAML response reported an IdP error. Error from identity provider: Status: urn:oasis:names:tc:SAML:2.0:status:Responder 

Il existe différentes configurations pour utiliser les "identifiants d'ouverture de session système" (mécanisme d'authentification Kerberos) pour Chrome et Firefox.

Chrome

Pour config chrome, vous devez démarrer l'application dans le paramètre suivant:

  • auth-server-whitelist – FQDN autorisé – Définir le FQDN du server IdP.Exemple:

chrome –auth-server-whitelist = "* aai-logon.domain-a.com"

Dans la «page de connection», vous pouvez find le bon FQDN:

Exemple de page de connection

Mozilla Firefox

Pour accéder aux parameters de Firefox, entrez: config dans la barre d'adresse et appuyez sur [Entrée]. Cela générera une longue list de preferences personnalisables pour l'installation actuelle du browser. Vous devez append le FQDN (nom de domaine entièrement qualifié) du server IdP dans la list des URI approuvés:

  • network.negotiate-auth.trusted-uris – FQDN du server IdP.

Exemple de configuration

Dans la «page de connection», vous pouvez find le bon FQDN

Firefox – Configuration avancée

Attention: ces options sont réservées aux users «avancés»! Si votre operating system ne possède pas de GSSAPI embedded (comme certaines dissortingbutions Linux ). Vous pouvez spécifier la bibliothèque externe avec laquelle vous désirez:

  • network.negotiate-auth.gsslib – (par défaut: vide) – Spécifie une autre bibliothèque partagée GSSAPI.
  • network.negotiate-auth.using-native-gsslib – Informez si le "native"
    (vrai) ou la bibliothèque externe (fausse) GSSAPI sera utilisée.

Voici d'autres parameters concernant la négociation / l'authentification:

  • network.negotiate-auth.delegation-uris (par défaut: vide) – Pour lequel la délégation d'accréditation FQDN sera autorisée (approuvée).
  • network.negotiate-auth.allow-proxies (par défaut: true) – Active l'authentification par proxy en utilisant la méthode de négociation.
  • network.auth.use-sspi (uniquement sur Windows, par défaut: true): si vous utilisez la bibliothèque SSPI de Microsoft, si elle est désactivée, utilisez GSSAPI.