У нас есть система единого входа, работающая на внутреннем веб-сайте, с Apache и mod_auth_kerb
... за исключением того, что пользователи без соответствующей конфигурации браузера получают запрос пароля вместо страницы с ошибкой.
Пользователи, которые настроили конфигурацию своего веб-браузера, чтобы разрешить доступ к сайту напрямую. Проблема для пользователей, которые еще не выполнили эту настройку браузера: мы хотим, чтобы они видели страницу с ошибкой, но вместо этого все подсказки Edge, Chrome и IE для имени пользователя и пароля.
У нас есть KrbMethodK5Passwd off
. Это оказывает желаемый эффект на пользователей Firefox, которые видят страницу с ошибкой.
Как мы можем запретить другим браузерам запрашивать пароль при сбое системы единого входа? Мы не хотим, чтобы пароли передавались по сети, и мы не хотим обучать пользователей думать, что их имя пользователя и пароль Windows приемлемо для веб-сайтов.
Нежелательная подсказка Хереса:
А вот Edge (IE почти такой же):
Если пользователь нажимает Esc
7 раз, затем приглашение в конце концов исчезнет, и пользователь сможет прочитать страницу с ошибкой. Но нет причин, по которым пользователь мог бы подумать об этом (если это не сработало первые 6 раз, зачем пытаться седьмой?), Тогда как они могут попытаться отправить свой пароль.
Сервер работает под управлением Ubuntu и имеет эту конфигурацию Apache, обеспечивающую аутентификацию:
<Location />
AuthName "Internal Website Domain Authentication"
AuthType Kerberos
Krb5Keytab /etc/apache2/HTTP.keytab
KrbMethodNegotiate on
KrbMethodK5Passwd off
Require valid-user
ErrorDocument 401 /error/authentication.html
</Location>
Спасибо.
Чтобы предотвратить запросы пароля, вы должны сохранить его в первый раз, когда вы входите в систему, Google предлагает сохранить его, после чего всякий раз, когда вы входите на веб-сайт, вы будете автоматически перенаправлены на веб-страницу.