Google Chrome: authentification passthrough Windows

26

Le département informatique envisage d'autoriser l'installation et le déploiement automatisé du navigateur Google Chrome sur plus de 100 postes de travail. L'une des exigences est que les informations d'identification de domaine soient transmises. Le comportement souhaité est le même qu'Internet Explorer.

Un problème est survenu lors de la navigation dans les ressources intranet. Les sites intranet qui nécessitent une authentification Active Directory affichent la boîte de dialogue "Authentification requise".

Pour chaque site, vous devez saisir vos informations d'identification de domaine.

Question : Google Chrome prend-il actuellement ou prévoit-il de prendre en charge l'authentification Windows passthrough? Si oui, comment configurez-vous ce paramètre de sécurité?

windows authentication single-sign-on google-chrome passthrough p.campbell
la source
La bonne réponse à cela a changé au fil des ans. Depuis un certain temps, Chrome est capable de prêter attention aux paramètres Internet natifs du système à partir du panneau de configuration et d'émuler le comportement d'IE, ce qui est infiniment plus utile que de définir une option de ligne de commande ou un paramètre GPO. Voir la réponse de @ Myster ci-dessous.
Tomalak

Réponses:

17

Cela a été inclus dans la version stable de Chrome 5.x à partir de mai 2010. Il fonctionne de manière similaire à Internet Explorer dans la mesure où les URL "Intranet" (sans points dans l'adresse) tenteront une connexion unique si le serveur le demande.

Pour activer le passthrough pour d'autres domaines, vous devez exécuter Chrome avec un paramètre de ligne de commande supplémentaire:

chrome.exe --auth-server-whitelist="*example.com,*foobar.com,*baz"

Contexte

Selon la liste des problèmes de Google pour Chromium , ce problème a été signalé en septembre 2008. La fonctionnalité de relais NTLM a apparemment été proposée à l'équipe Google Summer of Code. Il semble que cela sera travaillé à l' été 2009 lors du Google Summer of Code .

Ce sont de bonnes nouvelles et, espérons-le, apporteront une certaine stature à l'image de Chrome dans l'entreprise. L'intranet est si répandu, et adopter un navigateur est difficile sans cette fonctionnalité.

p.campbell
la source
4

Chrome dispose désormais d'une authentification Windows passthrough qui fonctionnera sur tout hôte sans domaine. Si vous utilisez des domaines sur tous les sites intranet, vous devrez utiliser l' option de ligne de commande --auth-server-whitelist .

Haas
la source
1
comment fonctionne cette option de ligne de commande? Le raccourci Chrome doit-il être modifié pour inclure cette option, ou est-ce défini dans la about:page ou une autre page de configuration?
p.campbell
4

Chrome a été mis à jour (version 5+) a ce qui suit:
Dans Windows, il s'intègre avec la configuration des zones intranet dans les «options Internet»

Sous Windows uniquement , si le commutateur de ligne de commande n'est pas présent, la liste autorisée se compose des serveurs de la zone de sécurité Machine locale ou Intranet local (par exemple, lorsque l'hôte dans l'URL inclut un caractère ".", Il se trouve en dehors de la Zone de sécurité Intranet local), qui est le comportement présent dans IE.

Si un défi provient d'un serveur en dehors de la liste autorisée, l'utilisateur devra saisir le nom d'utilisateur et le mot de passe.

Pour les autres systèmes d'exploitation, vous pouvez utiliser le commutateur de ligne de commande: 

--auth-server-whitelist="*example.com,*foobar.com,*baz"

source: https://sites.google.com/a/chromium.org/dev/developers/design-documents/http-authentication

Myster
la source
Cela signifie-t-il que si vous ajoutez un domaine supplémentaire à la «zone de sécurité de l'intranet local» dans IE, Chrome lui fera également confiance?
Simon East
3

Ce n'est pas inclus dans Google Chrome; cependant, vous pouvez essayer d'exécuter un service proxy local qui prend en charge NTLM. Cela devrait être installé sur chaque bureau et Chrome devrait être configuré pour utiliser le proxy.

Serveur proxy d'autorisation NTLM

Proxy d'authentification Cntlm

Doug Luxem
la source
Négocier ne serait-il pas mieux? Même Microsoft recommande de l'utiliser sur NTLM.
grawity
2

Je ne peux pas vous dire si c'est prévu ou non, mais ce n'est pas là dans la version actuelle.

Il est basé sur un navigateur open source, Chromium. Si vous voulez une telle fonctionnalité, vous pouvez payer quelqu'un pour l'ajouter.

Evan Anderson
la source
1
Ou ajoutez-le vous-même.
grawity
1
Heh heh ... de toute façon, vous payez pour ça en quelque sorte. Votre argent ou votre temps. smile Cirer philosophiquement une seconde: c'est pourquoi j'aime les logiciels open source. Vous avez en fait un moyen de contrôler les fonctionnalités et pouvez créer votre propre destin. Quand j'ai expliqué l'open source à des gens qui y pensaient comme le «communisme» comme «vous êtes libre de contracter avec n'importe quel parti qualifié pour travailler sur le logiciel», j'ai souvent constaté que les attitudes changent.
Evan Anderson
Ce commentaire est bien dépassé maintenant.
Simon East
@SimonEast - Je vais supposer que vous faites référence à ma réponse (ma 77e, jamais), et non à mon commentaire concernant le "communisme". re: la réponse - C'est tout à fait vrai - tout comme de nombreuses réponses sur tous les sites Stack Exchange. Je suppose que le fait d'avoir une date estampillée sur ma réponse rend les lecteurs douloureusement conscients que les informations sont probablement obsolètes. Personnellement, je ne vois pas comme une activité productive de passer du temps à rechercher des réponses de 6 ans et plus qui sont déjà faibles en termes de nombre de votes (par rapport à la réponse acceptée) et à les voter en aval, mais si cela vous rend heureux, n'hésitez pas .
Evan Anderson
Oui, désolé, je faisais référence à votre réponse, pas à votre commentaire. Et la rétrogradation des réponses obsolètes est encouragée , surtout s'il y en a d'autres qui devraient avoir plus de visibilité. N'hésitez pas à supprimer ou à améliorer votre réponse si vous ne voulez pas les downvotes.
Simon East