firefox - 「拡張保護」がオフになっていない非IEブラウザのADFSへのNTLM認証？

Question

Windowsで実行されているGoogleChromeまたはFirefox3.5以降からADFS2.0に対してNTLM認証を使用すると、サインインダイアログが繰り返され、最後にサインインが失敗し、「監査の失敗」イベントが「ステータス：0xc000035b」になります。

これは、IISの「/ adfs/ls」Webアプリケーションの「拡張保護」をオフにすることで「解決」できます。これはいくつかの場所で文書化されています。詳細については、別のStackOverflowの質問に対する私の回答を参照してください。

私の質問は、「拡張保護」をオフにせずに、AD FSへのNTLM認証をこれらのブラウザで機能させるにはどうすればよいですか？つまり、Internet Explorerでは、これは「拡張保護」をオンにすると正常に機能しますが、ChromeまたはFirefoxを使用しないのはなぜですか？それとも、これはChrome / Firefoxの実装のバグ/制限ですか？たとえば、Windows NTLMライブラリの使用にありますか？

更新：ブラウザの設定を変更するように強制することなく、これを実行したいと言っておく必要があります。

Answer 1

によると

• http://technet.microsoft.com/en-us/library/hh237448(v=ws.10).aspx
• http://support.microsoft.com/kb/2461628/en-us

これは、Chrome / Firefox/Safariの実装制限です。

• クライアントがWindows7を実行していて、サーバーがまたはにExtendedProtectionTokenCheck設定されて いるRequireAllow
• クライアントがWindowsXPまたはVistaを実行している-適切な更新なし（！）で、サーバーがにExtendedProtectionTokenCheck設定されている Require

たぶんあなたはこれであなたのクライアントの拡張保護を抑制することができます： http ：//support.microsoft.com/kb/976918/en-us

[...]
拡張保護動作を制御するには、次のレジストリサブキーを作成します。
キー名： HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ LSA
値名： SuppressExtendedProtection
タイプ： DWORD

CBTを正しく処理しないWindows以外のKerberosサーバーによる認証に失敗するチャネルバインディングをサポートするWindowsクライアントの場合：
1。レジストリエントリ値を「<strong>0x01」に設定します。<br/>これによりKerberosが構成されます。パッチが適用されていないアプリケーションに対してCBTトークンを発行しないようにします。
2.それでも問題が解決しない場合は、レジストリエントリの値を「<strong> 0x03」に設定します。<br/>これにより、KerberosがCBTトークンを発行しないように構成されます。

[...]

Answer 2

拡張保護は、Kerberosチケットのリプレイ攻撃を防ぐために設計されました。

私が理解しているように、ADFSのデフォルトはWindows統合認証であり、IEは「内部」で処理するため、IEで機能します。

しばらく前にこれを調査したとき、正しく覚えていれば、Firefoxの回避策があります。