Google Chrome: найсвіжіша автентифікація Windows

26

Відділ ІТ розглядає можливість встановлення та автоматичного розгортання браузера Google Chrome на 100+ настільних комп’ютерів. Однією з вимог є передача облікових даних домену. Бажана поведінка така сама, як Internet Explorer.

Під час перегляду ресурсів інтрамережі виникла проблема. На веб-сайтах, що вимагають автентифікацію Active Directory, відображається діалогове вікно "Необхідна автентифікація".

Для кожного сайту потрібно ввести облікові дані свого домену.

Питання : Чи підтримує Google Chrome на даний момент чи планує підтримувати аутентифікацію Windows? Якщо так, то як налаштувати цей параметр безпеки?

windows  authentication  single-sign-on  google-chrome  passthrough 
p.campbell
джерело
Правильна відповідь на це з роками змінювалася. Вже досить довгий час Chrome може звертати увагу на вбудовані Інтернет-налаштування системи з панелі управління та імітувати поведінку IE, що незмірно корисніше, ніж встановити параметр командного рядка або налаштування GPO. Дивіться відповідь @ Myster нижче.
Томалак

Відповіді:

17

Це було включено до стабільного випуску Chrome 5.x станом на травень 2010 року. Це працює аналогічно Internet Explorer у тому, що URL-адреси "Інтранет" (без крапок в адресі) спробують здійснити одиночний вхід, якщо цього вимагатиме сервер.

Щоб увімкнути прохід для інших доменів, потрібно запустити Chrome із додатковим параметром командного рядка:

chrome.exe --auth-server-whitelist="*example.com,*foobar.com,*baz"

Фон

Відповідно до списку випусків Google для Chromium , про цю проблему повідомлялося у вересні 2008 року. Програма для переходу NTLM, очевидно, була надана команді Google Summer of Code. Здається, над цим працюватимуть влітку 2009 року на Google Summer of Code .

Це хороша новина, і, сподіваємось, це принесе деякий настрій іміджу Chrome на підприємстві. Інтранет настільки поширений, і прийняти браузер важко, не маючи цієї функції.

p.campbell
джерело
4

Зараз Chrome має найсвіжішу автентифікацію Windows, яка працюватиме на будь-якому хості без домену. Якщо ви використовуєте домени на всіх сайтах інтрамережі, вам потрібно буде скористатися параметром командного рядка --auth-server-whitelist .

Хаас
джерело
1
як працює цей параметр командного рядка? Чи потрібно змінювати ярлик Chrome, щоб включити цю опцію, чи це встановлено на about:сторінці чи іншій сторінці конфігурації?
p.campbell
4

Оновлений Chrome (версія 5+) має таке:
У Windows він інтегрується із налаштуваннями зон інтранет в "Параметри Інтернету"

Тільки в Windows , якщо комутатора командного рядка немає, дозволений список складається з тих серверів, які знаходяться в зоні безпеки локальної машини або локальної внутрішньої мережі (наприклад, коли хост в URL-адресі містить символ ".", Він знаходиться поза Локальна зона інтранет-безпеки), яка є поведінкою, присутньою в IE.

Якщо виклик надходить із сервера поза дозволеним списком, користувачеві потрібно буде ввести ім’я користувача та пароль.

Для інших ОС можна використовувати перемикач командного рядка: 

--auth-server-whitelist="*example.com,*foobar.com,*baz"

джерело: https://sites.google.com/a/chromium.org/dev/developers/design-documents/http-authentication

Таємниця
джерело
Чи означає це, що якщо ви додасте додатковий домен до "Локальної зони інтранет-мережі" в IE, Chrome також довірятиме цьому?
Саймон Іст
3

Це не входить у Google Chrome; проте ви можете спробувати запустити локальну проксі-сервіс, який підтримує NTLM. Це потрібно встановити на кожному робочому столі, а Chrome потрібно налаштувати на використання проксі.

Проксі-сервер авторизації NTLM

Проксі-сервер автентифікації Cntlm

Дуг Люксем
джерело
Хіба переговори не були б кращими? Навіть Microsoft рекомендує використовувати його через NTLM.
grawity
2

Я не можу сказати вам про те, планується це чи ні, але його немає в поточній версії.

Він заснований на браузері з відкритим кодом, Chromium. Якщо вам потрібна така функція, ви можете заплатити комусь, щоб її додати.

Еван Андерсон
джерело
1
Або додайте його самостійно.
grawity
1
Хе-хе ... в будь-якому випадку, ви платите за це якось. Ваші гроші чи ваш час. усмішка Фіксувати філософсько на секунду: саме тому я люблю програмне забезпечення з відкритим кодом. Ви фактично маєте спосіб контролювати функції та можете створити власну долю. Коли я пояснював відкритим кодом людям, які думали про це як "комунізм", як "ви вільні укладати контракти з будь-якою кваліфікованою стороною для роботи над програмним забезпеченням", я часто виявляв, що ставлення змінюється.
Еван Андерсон
Цей коментар зараз застарілий.
Саймон Іст
@SimonEast - Я припускаю, що ви посилаєтесь на мою відповідь (моя 77-я коли-небудь), а не мій коментар щодо: "комунізм". re: відповідь - Це абсолютно правда-- як і багато відповідей на всіх сайтах Stack Exchange. Я б припустив, що дата, проставлена ​​на мою відповідь, дає читачам болісно усвідомлювати, що інформація, ймовірно, застаріла. Я особисто не вважаю це продуктивною діяльністю витрачати час на пошуки відповідей віком від 6 років, які вже мають низький підрахунок голосів (порівняно з прийнятою відповіддю) та зволікаючи їх, але якщо це робить вас щасливими, будь ласка, не соромтеся .
Еван Андерсон
Так, вибачте, що я мав на увазі вашу відповідь, а не ваш коментар. І заохочення застарілих відповідей заохочується , особливо якщо є інші, які повинні мати більшу видимість. Сміливо видаляйте або покращуйте свою відповідь, якщо ви не хочете голосувати.
Саймон Іст
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.