Configurando o Google Chrome para conectar-se ao AD Configurado com o Kerberos e usando o ADFS

3

Estou tentando configurar o Google Chrome (e o Firefox) para autenticação usando o Active Directory encapsulado através de Endereços SAML / Kerberos do ADFS e um aplicativo Apache usando o Shibboleth. Aqui estão algumas configurações que tenho dentro de cada máquina.

Configuração do Active Directory: Estou usando uma conta de usuário do Active Directory configurada com criptografia DES Kerberos e também tenho a pré-autenticação do Kerberos no Windows Server 2012 r2.

Configuração do IE: A Configuração de Segurança do IE para Sites Confiáveis e da Internet possui Autenticação de Usuário definida como "Logon automático com nome de usuário e senha atuais" (para fazer login automático do usuário atual do Windows). Os domínios para o ADFS e o aplicativo Apache são adicionados nos sites permitidos.

Configuração do AD FS do Windows Server 2012 r2: O Windows Server 2012 r2 é configurado usando o ADFS com o SAML e o Kerberos Endpoints ativado.

Configuração do Shibboleth SP: O Shibboleth SP é executado no Apache e é configurado para usar o SAML.

O que está acontecendo com sucesso: A conta de usuário do Windows pode acessar com êxito qualquer sistema operacional Windows 7 e acima usando o IE9 e mais recente. Não há prompts quando o usuário do Windows efetua login no aplicativo Apache. O usuário do Windows é direcionado imediatamente para o aplicativo Apache configurado com o Shibboleth SP.

Qual é o problema? Sempre que vou ao Google Chrome ou ao Firefox, ele não está direcionando imediatamente para a página de conteúdo do aplicativo seguro. Em vez disso, ele conecta o usuário do Windows a uma tela de logon do ADFS e o logon falha (porque parece estar usando a configuração Kerberos do Active Directory, que o ADFS não usa na tela de login).

Meta: Supondo que o Google Chrome usa a configuração de segurança do Internet Explorer, o login no aplicativo Apache deve funcionar sem problemas.

Então, como configuro o Google Chrome corretamente (ou qualquer outra configuração) para permitir que o usuário do Windows faça login automaticamente no aplicativo Apache?

Atualizar

Erro recebo o seguinte erro do aplicativo Apache:

openSAML::FatalProfileException at (https://c-app01.contoso.com/Shibboleth.sso/SAML2/POST)

SAML response reported an IdP error.

Error from identity provider: 

    Status: urn:oasis:names:tc:SAML:2.0:status:Responder
    
por Franz Noel 30.12.2016 / 00:37

1 resposta

2

Existem diferentes configurações para usar as "credenciais de logon do sistema" (mecanismo de autenticação do Kerberos) para o Chrome e o Firefox.

Chrome

Para configurar o chrome, você precisa iniciar o aplicativo com o seguinte parâmetro:

  • auth-server-whitelist - FQDN permitido - Definir o FQDN do IdP Server.Example:

chrome --auth-server-whitelist="*aai-logon.domain-a.com"

Na "Página de login" você encontra o FQDN correto:

Exemplo de página de login

Mozilla Firefox

Para acessar as configurações do Firefox, digite about: config na barra de endereços e pressione [Enter]. Isso trará uma longa lista de preferências personalizáveis para a instalação atual do navegador. Você precisa adicionar o FQDN (nome de domínio totalmente qualificado) do IdP Server à lista de URIs confiáveis:

  • network.negotiate-auth.trusted-uris - FQDN do servidor IdP.

Exemplo de configuração

Na "Página de login" você pode encontrar o FQDN correto

Firefox - Configuração avançada

Atenção: Estas opções são apenas para usuários "avançados"! Se o seu sistema operacional não tiver um GSSAPI integrado (como algumas distribuições Linux ). Você pode especificar qual biblioteca externa deseja:

  • network.negotiate-auth.gsslib - (padrão: vazio) - Especifica um biblioteca compartilhada GSSAPI alternativa.
  • network.negotiate-auth.using-native-gsslib - Informa se o "nativo"
    (true) ou a biblioteca GSSAPI externa (falsa) será usada.

Aqui estão outras configurações relativas à negociação / autenticação:

  • network.negotiate-auth.delegation-uris (padrão: vazio) - Para qual A delegação de credenciais do FQDN será permitida (confiável).
  • network.negotiate-auth.allow-proxies (padrão: true) - ativa o proxy autenticação usando o método de negociação.
  • network.auth.use-sspi (somente no Windows, padrão: true) - se deseja use a biblioteca SSPI da Microsoft, se desativado, use GSSAPI.
por 30.12.2016 / 08:42