Я пытаюсь настроить Google Chrome (и Firefox) для аутентификации с использованием Active Directory, туннелированного через ADFS SAML / Kerberos Endpoints и приложения Apache с использованием Shibboleth. Вот некоторые настройки, которые у меня есть внутри каждой машины.
Настройка Active Directory: Я использую учетную запись пользователя Active Directory, настроенную с использованием шифрования Kerberos DES, а также имею предварительную проверку подлинности Kerberos в Windows Server 2012 r2.
Настройка IE: В настройках безопасности IE для Интернета и надежных сайтов для проверки подлинности пользователя установлено значение «Автоматический вход с текущим именем пользователя и паролем» (для автоматического входа в систему текущего пользователя Windows). Домены для ADFS и приложения Apache добавляются в разрешенные сайты.
Настройка ADFS для Windows Server 2012 r2: Windows Server 2012 r2 настроен с использованием ADFS с включенными конечными точками SAML и Kerberos.
Настройка Shibboleth SP: Shibboleth SP работает в Apache и настроен на использование SAML.
Что происходит успешно: Учетная запись пользователя Windows может успешно войти в любую операционную систему Windows 7 и выше с использованием IE9 и более поздних версий. После того, как пользователь Windows войдет в приложение Apache, никаких запросов не будет. Пользователь Windows сразу направляется к приложению Apache, настроенному с помощью Shibboleth SP.
В чем дело? Всякий раз, когда я захожу в Google Chrome или Firefox, он не направляет сразу на страницу содержимого защищенного приложения. Вместо этого он подключает пользователя Windows к экрану входа в систему ADFS, и вход в систему не выполняется (поскольку, похоже, используется Kerberos из параметра Active Directory, который ADFS не использует на экране входа в систему).
Цель: Предполагая, что Google Chrome использует настройки безопасности из Internet Explorer, вход в приложение Apache должен работать без проблем.
Итак, как мне правильно настроить Google Chrome (или любую другую конфигурацию), чтобы пользователь Windows мог автоматически входить в приложение Apache?
Обновить
ошибка Я получаю следующую ошибку из приложения Apache:
openSAML::FatalProfileException at (https://c-app01.contoso.com/Shibboleth.sso/SAML2/POST)
SAML response reported an IdP error.
Error from identity provider:
Status: urn:oasis:names:tc:SAML:2.0:status:Responder
Существуют разные конфигурации использования «учетных данных для входа в систему» (механизм проверки подлинности Kerberos) для Chrome и Firefox.
Для настройки chrome вам необходимо запустить приложение со следующим параметром:
chrome --auth-server-whitelist = "* aai-logon.domain-a.com"
На «странице входа» вы можете найти правильное полное доменное имя:
Чтобы получить доступ к настройкам Firefox, введите about: config в адресную строку и нажмите [Enter]. Откроется длинный список настраиваемых параметров для текущей установки браузера. Вам необходимо добавить FQDN (полное доменное имя) IdP Server в список доверенных URI:
На «странице входа» вы можете найти правильное полное доменное имя
Firefox - Расширенная конфигурация
Внимание: Эти параметры предназначены только для «продвинутых» пользователей! Если ваша ОС не имеет интегрированного GSSAPI (например, некоторые Linux раздачи). Вы можете указать, какую внешнюю библиотеку вы хотите использовать:
Вот другие настройки, касающиеся согласования / аутентификации:
