WEB-приложение Сведение отчетности  (21.11.2024)
Настройка браузеров для использования доменной аутентификации

Доменная аутентификация может осуществляться по NTLM и Kerberos протоколу. Первый считается устаревшим, но он обычно включен администратором домена для совместимости. Kerberos всегда включен по умолчанию в современных серверных ОС Windows которые используются в качестве контроллера домена.

Важно!
В браузере Edge, на текущий момент, отсутствует поддержка доменной аутентификации.

Настройка Firefox :

  • Открыть вкладку с адресом about:config
  • В случае необходимости использования NTML аутентификации нужно настроить параметр network.automatic-ntlm-auth.trusted-uris  указав в его значении домен сервиса (например balance.domain.com или .domain.com для использования всех поддоменов из домена domain.com).
  • В случае необходимости использования Kerberos аутентификации также нужно настроить параметры network.negotiate-auth.delegation-uris (задать протокол для которого будет использоваться доменная аутентификация, например "http://,https://" для включения обоих протоколов) и network.negotiate-auth.trusted-uris (значение задается по аналогии с NTLM параметром) .

Кстати
Можно включить использование доменной аутентификации для всех доменов, включив параметры (задав значение true)  network.automatic-ntlm-auth.allow-non-fqdn или network.negotiate-auth.allow-non-fqdn, и очистив значения параметров network.automatic-ntlm-auth.trusted-uris и  network.negotiate-auth.trusted-uris.

Настройка  IE  (Chrome и браузеры на основе Chromium, в частности Opera и Yandex браузер, используют настройки IE):

  • Откройте настройки IE (свойства браузера) и перейдите на вкладку "Безопасность".
  • Выберите зону "Местная интрасеть".
  • Для включения автоматичекой аутентификации проверьте текущую настройку "Проверка подлинности пользователя" - в группе настроек "Уровень безопасности для этой зоны" нажмите на кнопку "Другой", настройка "Проверка подлинности пользователя" должна иметь значение "Автоматический вход в сеть только в зоне интрасети".
  • Для настройки перечня доменов нажмите на кнопку "Сайты" (если в открывшемся диалоговом меню не показался перечень сайтов, а предлагается автоматически определять такие сайты, то задать вручную необходимый сайт можно нажав на кнопку "Дополнительно") в открывшемся диалоге введите нужный домен, и нажмите кнопку "Добавить". Там же можно настроить и требуемый протокол (http или https).

Важно!

Браузер IE осуществляет аутентификацию в каждом новом TCP соединении (сокете) с сервером. И из-за того, что процесс доменной аутентификации происходит путем осуществления не менее 2-х запросов-ответов между клиентом и сервером, то в случае с IE требуется включение KeepAlive (в конфигураторе параметр "Повторно использовать сессии" в группе "Параметры сетевых настроек"). В противном случае, доменная аутентификация в IE будет невозможна.

В браузере IE, после прохождения доменной аутентификации и дальнейшей необходимости перевойти с помощью логина/пароля, или использования другого вида аутентификации, требуется закрыть и снова открыть браузер (переоткрыть вкладку не достаточно).
Это связано с особенностью работы браузера IE (всех версий), в которой он использует упреждающую аутентификацию  (не дожидается требования аутентификации от сервера, а самостоятельно начинает этот процесс), что в совокупности с запоминанием им возможности доменной аутентификации на конкретном URL, приводит к автоматической переаутентификации на доменную учетную запись посреди сеанса.