Google Chrome: Windows-Authentifizierung durchlaufen

26

Die IT-Abteilung erwägt, die Installation und automatische Bereitstellung des Google Chrome-Browsers auf über 100 Desktops zu ermöglichen. Eine der Anforderungen ist, dass Domänenanmeldeinformationen übergeben werden. Das gewünschte Verhalten entspricht dem von Internet Explorer.

Beim Durchsuchen von Intranet-Ressourcen ist ein Problem aufgetreten. Intranetsites, für die eine Active Directory-Authentifizierung erforderlich ist, zeigen das Dialogfeld "Authentifizierung erforderlich" an.

Für jede Site müssen Sie Ihre Domain-Anmeldeinformationen eingeben.

Frage : Unterstützt Google Chrome derzeit die Passthrough-Windows-Authentifizierung oder plant dies? Wenn ja, wie konfigurieren Sie diese Sicherheitseinstellung?

windows authentication single-sign-on google-chrome passthrough p.campbell
quelle
Die richtige Antwort darauf hat sich im Laufe der Jahre geändert. Seit geraumer Zeit ist Chrome in der Lage, die systemeigenen Interneteinstellungen in der Systemsteuerung zu berücksichtigen und das Verhalten des Internet Explorers zu emulieren. Dies ist weitaus nützlicher als das Festlegen einer Befehlszeilenoption oder einer GPO-Einstellung. Siehe die Antwort von @ Myster weiter unten.
Tomalak

Antworten:

17

Dies ist in der stabilen Version von Chrome 5.x ab Mai 2010 enthalten. Es funktioniert ähnlich wie in Internet Explorer, da "Intranet" -URLs (ohne Punkte in der Adresse) eine einmalige Anmeldung versuchen, wenn dies vom Server angefordert wird.

Um Passthrough für andere Domains zu aktivieren, müssen Sie Chrome mit einem zusätzlichen Befehlszeilenparameter ausführen:

chrome.exe --auth-server-whitelist="*example.com,*foobar.com,*baz"

Hintergrund

Laut der Google Issues-Liste für Chromium wurde dieses Problem im September 2008 gemeldet. Die NTLM-Passthrough-Funktion wurde anscheinend dem Google Summer of Code-Team zur Verfügung gestellt. Es hört sich so an, als würde es im Sommer 2009 beim Google Summer of Code bearbeitet .

Dies sind gute Nachrichten und werden hoffentlich das Image von Chrome im Unternehmen verbessern. Das Intranet ist so weit verbreitet, und ohne diese Funktion ist es schwierig, einen Browser zu verwenden.

p.campbell
quelle
4

Chrome verfügt jetzt über eine Passthrough-Windows-Authentifizierung, die auf jedem Host ohne Domain funktioniert. Wenn Sie auf allen Intranetsites Domänen verwenden, müssen Sie die Befehlszeilenoption --auth-server-whitelist verwenden .

Haas
quelle
1
Wie funktioniert diese Befehlszeilenoption? Muss die Chrome-Verknüpfung geändert werden, um diese Option einzuschließen, oder ist dies auf der about:Seite oder einer anderen Konfigurationsseite festgelegt?
Campbell
4

Chrome wurde aktualisiert (Version 5+) und hat Folgendes:
In Windows ist es in die Einstellung für Intranetzonen in den "Internetoptionen" integriert.

Wenn die Befehlszeilenoption in Windows nicht vorhanden ist, besteht die zulässige Liste aus den Servern in der Sicherheitszone "Lokaler Computer" oder "Lokales Intranet" (wenn der Host in der URL beispielsweise ein "." - Zeichen enthält, befindet er sich außerhalb des Lokale Intranet-Sicherheitszone). Dies ist das Verhalten im IE.

Wenn eine Herausforderung von einem Server außerhalb der zulässigen Liste stammt, muss der Benutzer den Benutzernamen und das Kennwort eingeben.

Für andere Betriebssysteme können Sie den Befehlszeilenschalter verwenden: 

--auth-server-whitelist="*example.com,*foobar.com,*baz"

Quelle: https://sites.google.com/a/chromium.org/dev/developers/design-documents/http-authentication

Myster
quelle
Heißt das, wenn Sie der "Local Intranet Security Zone" im IE eine zusätzliche Domain hinzufügen, vertraut auch Chrome dieser Domain?
Simon East
3

Dies ist in Google Chrome nicht enthalten. Sie können jedoch versuchen, einen lokalen Proxy-Dienst auszuführen, der NTLM unterstützt. Dies muss auf jedem Desktop installiert werden und Chrome muss für die Verwendung des Proxys konfiguriert werden.

NTLM-Autorisierungs-Proxy-Server

Cntlm-Authentifizierungsproxy

Doug Luxem
quelle
Wäre Verhandeln nicht besser? Sogar Microsoft empfiehlt, es über NTLM zu verwenden.
Grawity
2

Ich kann dir nicht sagen, ob es geplant ist oder nicht, aber es ist in der aktuellen Version nicht vorhanden.

Es basiert auf einem Open-Source-Browser, Chromium. Wenn Sie eine solche Funktion wünschen, können Sie jemanden bezahlen, der sie hinzufügt.

Evan Anderson
quelle
1
Oder füge es selbst hinzu.
Grawity
1
Heh heh ... so oder so, du bezahlst es irgendwie. Dein Geld oder deine Zeit. lächeln Für eine Sekunde philosophisch wachsen: Deshalb liebe ich Open-Source-Software. Sie haben tatsächlich die Möglichkeit, die Funktionen zu steuern und Ihr eigenes Schicksal zu erstellen. Wenn ich Open Source Leuten erklärt habe, die es als "Kommunismus" ansehen, als "es steht Ihnen frei, einen Vertrag mit einer qualifizierten Partei abzuschließen, um an der Software zu arbeiten", habe ich oft festgestellt, dass sich die Einstellungen ändern.
Evan Anderson
Dieser Kommentar ist mittlerweile veraltet.
Simon East
@ SimonEast - Ich gehe davon aus, dass Sie sich auf meine Antwort beziehen (meine 77.) und nicht auf meinen Kommentar zu "Kommunismus". re: the answer - Das ist absolut richtig - genau wie viele Antworten auf allen Stack Exchange-Sites. Ich gehe davon aus, dass ein Datumsstempel auf meiner Antwort den Lesern schmerzlich bewusst macht, dass die Informationen wahrscheinlich veraltet sind. Ich persönlich sehe es nicht als produktive Aktivität an, Zeit damit zu verbringen, nach Antworten zu suchen, die älter als 6 Jahre sind und deren Stimmenzahl bereits niedrig ist (im Vergleich zu der akzeptierten Antwort), und sie abzustimmen, aber wenn dies Sie glücklich macht, fühlen Sie sich bitte frei .
Evan Anderson
Ja, tut mir leid, ich bezog mich auf Ihre Antwort, nicht auf Ihren Kommentar. Und veraltete Antworten Downvoting wird ermutigt , vor allem , wenn es gibt andere , die mehr Sichtbarkeit haben sollten. Fühlen Sie sich frei, Ihre Antwort zu löschen oder zu verbessern, wenn Sie die Downvotes nicht wollen.
Simon East