Google Chrome: сквозная проверка подлинности Windows

26

ИТ-отдел рассматривает возможность установки и автоматического развертывания браузера Google Chrome на более чем 100 рабочих столах. Одно из требований - для прохождения учетных данных домена. Желаемое поведение такое же, как в Internet Explorer.

Возникла проблема при просмотре ресурсов интрасети. Сайты интрасети, для которых требуется проверка подлинности Active Directory, отображают диалоговое окно «Требуется проверка подлинности».

Для каждого сайта вы должны ввести свои учетные данные домена.

Вопрос. Поддерживает ли в настоящее время или планирует ли Google Chrome сквозную аутентификацию Windows? Если да, то как настроить этот параметр безопасности?

windows authentication single-sign-on google-chrome passthrough p.campbell
источник
Правильный ответ на это изменился за эти годы. Уже довольно давно Chrome может обращать внимание на собственные настройки Интернета системы с панели управления и эмулировать поведение IE, что неизмеримо более полезно, чем настройка параметра командной строки или параметра GPO. Смотрите ответ @ Myster ниже.
Томалак

Ответы:

17

Это было включено в стабильную версию Chrome 5.x по состоянию на май 2010 года. Она работает аналогично Internet Explorer в том, что URL-адреса «Интранет» (без точек в адресе) будут пытаться выполнить единый вход в систему по запросу сервера.

Чтобы включить сквозную передачу для других доменов, вам нужно запустить Chrome с дополнительным параметром командной строки:

chrome.exe --auth-server-whitelist="*example.com,*foobar.com,*baz"

Задний план

Согласно списку проблем Google для Chromium , об этой проблеме было сообщено в сентябре 2008 года. Функция сквозного прохождения NTLM была, по-видимому, предоставлена ​​команде Google Summer of Code. Похоже, это будет работать летом 2009 года на Google Summer of Code .

Это хорошая новость, и мы надеемся, что она поднимет репутацию Chrome на предприятии. Интранет настолько распространен, и адаптировать браузер сложно без этой функции.

p.campbell
источник
4

Chrome теперь имеет сквозную аутентификацию Windows, которая будет работать на любом хосте без домена. Если вы используете домены на всех сайтах интрасети, вам нужно будет использовать параметр командной строки --auth-server-whitelist .

Haas
источник
1
как работает этот параметр командной строки? Нужно ли изменить ярлык Chrome, чтобы включить этот параметр, или он установлен на about:странице или другой странице конфигурации?
Кэмпбелл
4

Chrome был обновлен (версия 5+) и имеет следующее:
В Windows он интегрируется с настройкой зон интрасети в «параметрах Интернета».

В Windows , только , если переключатель командной строки нет, разрешенный список состоит из этих серверов в зоне безопасности локального компьютера или локальной интрасети (например, когда хост в URL включает в себя «» характер она находится за пределами Зона безопасности локальной интрасети), которая представляет собой поведение, присутствующее в IE.

Если вызов поступает с сервера, находящегося за пределами разрешенного списка, пользователю необходимо ввести имя пользователя и пароль.

Для других ОС вы можете использовать переключатель командной строки: 

--auth-server-whitelist="*example.com,*foobar.com,*baz"

источник: https://sites.google.com/a/chromium.org/dev/developers/design-documents/http-authentication

Myster
источник
Означает ли это, что если вы добавите дополнительный домен в «Зону безопасности локальной сети» в IE, то Chrome тоже будет ему доверять?
Саймон Ист
3

Это не входит в Google Chrome; однако вы можете попробовать запустить локальную прокси-службу, которая поддерживает NTLM. Это должно быть установлено на каждом рабочем столе, а Chrome должен быть настроен для использования прокси.

Прокси-сервер авторизации NTLM

Cntlm аутентификационный прокси

Дуг Люксем
источник
Разве переговоры не будут лучше? Даже Microsoft рекомендует использовать его поверх NTLM.
Гравитация
2

Я не могу сказать вам, запланировано это или нет, но его нет в текущей версии.

Он основан на браузере с открытым исходным кодом, Chromium. Если вы хотите такую ​​функцию, вы можете заплатить кому-нибудь, чтобы добавить ее.

Эван Андерсон
источник
1
Или добавь это сам.
Гравитация
1
Хе-хе ... в любом случае, вы как-то платите за это. Ваши деньги или ваше время. улыбка воска Философский на секунду: Вот почему я люблю программное обеспечение с открытым исходным кодом. У вас действительно есть способ управлять функциями и создать свою собственную судьбу. Когда я объяснял открытый исходный код людям, которые думали о нем как о «коммунизме», как «вы можете заключить контракт с любой квалифицированной стороной для работы над программным обеспечением», я часто обнаруживал, что отношение меняется.
Эван Андерсон
Этот комментарий устарел сейчас.
Саймон Ист
@SimonEast - я предполагаю, что вы имеете в виду мой ответ (мой 77-й, когда-либо), а не мой комментарий по поводу "коммунизма". Re: ответ - это абсолютно верно, как и многие ответы на всех сайтах Stack Exchange. Я предполагаю, что отметка даты в моем ответе заставляет читателей мучительно осознавать, что информация, вероятно, устарела. Лично я не считаю продуктивным занятие тратить время на поиск ответов от 6 лет, которые уже имеют низкое количество голосов (по сравнению с принятым ответом), и отказывать им в голосовании, но если это вас радует, пожалуйста, не стесняйтесь ,
Эван Андерсон
Да, извините, я имел в виду ваш ответ, а не ваш комментарий. И downvoting устаревших ответов рекомендуется , особенно если есть другие , которые должны иметь больше видимости. Не стесняйтесь удалять или улучшать свой ответ, если вы не хотите понижать голос.
Саймон Ист