Google Chrome: autenticación pasante de Windows

26

El departamento de TI está considerando permitir la instalación y la implementación automatizada del navegador Google Chrome en más de 100 escritorios. Uno de los requisitos es que se pasen las credenciales de dominio. El comportamiento deseado es el mismo que Internet Explorer.

Ha surgido un problema al explorar los recursos de la intranet. Los sitios de intranet que requieren autenticación de Active Directory muestran el cuadro de diálogo "Se requiere autenticación".

Para cada sitio, debe ingresar sus credenciales de dominio.

Pregunta : ¿Google Chrome actualmente o planea admitir la autenticación de Windows passthrough? Si es así, ¿cómo configura esta configuración de seguridad?

windows authentication single-sign-on google-chrome passthrough p.campbell
fuente
La respuesta correcta para esto ha cambiado con los años. Desde hace bastante tiempo, Chrome ha sido capaz de prestar atención a la configuración de Internet nativa del sistema desde el panel de control y emular el comportamiento de IE, que es muchísimo más útil que establecer una opción de línea de comando o configuración de GPO. Ver la respuesta de @ Myster a continuación.
Tomalak

Respuestas:

17

Esto se ha incluido en la versión estable de Chrome 5.x a partir de mayo de 2010. Funciona de manera similar a Internet Explorer en que las URL "Intranet" (sin puntos en la dirección) intentarán el inicio de sesión único si el servidor lo solicita.

Para habilitar el paso a través de otros dominios, debe ejecutar Chrome con un parámetro de línea de comando adicional:

chrome.exe --auth-server-whitelist="*example.com,*foobar.com,*baz"

Fondo

Según la lista de problemas de Google para Chromium , este problema se informó en septiembre de 2008. Aparentemente, la función de transferencia NTLM se le dio al equipo de Google Summer of Code. Parece que se trabajará en el verano de 2009 en Google Summer of Code .

Estas son buenas noticias, y con suerte traerán algo de importancia a la imagen de Chrome en la empresa. La intranet es tan frecuente, y adoptar un navegador es difícil sin tener esta característica.

p.campbell
fuente
4

Chrome ahora cuenta con autenticación de Windows que funcionará en cualquier host sin dominio. Si usa dominios en todos los sitios de intranet, deberá usar la opción de línea de comando --auth-server-whitelist .

Haas
fuente
1
¿Cómo funciona esta opción de línea de comando? ¿Es necesario modificar el acceso directo de Chrome para incluir esta opción, o está configurado en la about:página u otra página de configuración?
p.campbell
4

Chrome se ha actualizado (versión 5+) tiene lo siguiente:
en Windows se integra con la configuración de zonas de intranet en 'opciones de internet'

En sólo Windows , si el modificador de línea de comandos no está presente, la lista permitida consiste en los servidores de la zona de seguridad de la máquina o Local Intranet local (por ejemplo, cuando el anfitrión en la dirección URL incluye un carácter "" que se encuentra fuera del Zona de seguridad de la intranet local), que es el comportamiento presente en IE

Si un desafío proviene de un servidor fuera de la lista permitida, el usuario deberá ingresar el nombre de usuario y la contraseña.

Para otros sistemas operativos, puede usar el interruptor de línea de comando: 

--auth-server-whitelist="*example.com,*foobar.com,*baz"

fuente: https://sites.google.com/a/chromium.org/dev/developers/design-documents/http-authentication

Misterio
fuente
¿Eso significa que si agrega un dominio adicional a la "Zona de seguridad de la intranet local" en IE, Chrome también confiará en él?
Simon East
3

Esto no está incluido en Google Chrome; sin embargo, puede intentar ejecutar un servicio proxy local que admita NTLM. Esto debería instalarse en cada escritorio y Chrome debería configurarse para utilizar el proxy.

Servidor proxy de autorización NTLM

Proxy de autenticación de Cntlm

Doug Luxem
fuente
¿No sería mejor negociar? Incluso Microsoft recomienda usarlo sobre NTLM.
Grawity
2

No puedo decirte si está planeado o no, pero no está allí en la versión actual.

Se basa en un navegador de código abierto, Chromium. Si desea dicha función, puede pagarle a alguien para que la agregue.

Evan Anderson
fuente
1
O agréguelo usted mismo.
Grawity
1
Je je ... de cualquier manera, lo estás pagando de alguna manera. Tu dinero o tu tiempo. smile Para depilarse filosóficamente por un segundo: por eso me encanta el software de código abierto. De hecho, tiene una manera de controlar las características y puede crear su propio destino. Cuando expliqué el código abierto a las personas que lo consideraron como "comunismo" como "eres libre de contratar a cualquier parte calificada para trabajar en el software", a menudo descubrí que las actitudes cambian.
Evan Anderson
Este comentario está desactualizado ahora.
Simon East
@SimonEast - Asumiré que te estás refiriendo a mi respuesta (la 77, nunca), y no a mi comentario sobre: ​​"comunismo". re: la respuesta, eso es absolutamente cierto, al igual que muchas respuestas en todos los sitios de Stack Exchange. Supongo que tener una fecha impresa en mi respuesta hace que los lectores se den cuenta de que la información probablemente esté desactualizada. Personalmente, no lo veo como una actividad productiva para pasar el tiempo buscando respuestas de más de 6 años que ya son bajas en el recuento de votos (en comparación con la respuesta aceptada) y rechazarlas, pero si eso lo hace feliz, siéntase libre .
Evan Anderson
Sí, lo siento, me refería a tu respuesta, no a tu comentario. Y downvoting respuestas obsoletas se animó , sobre todo si hay otros que deberían tener una mayor visibilidad. Siéntase libre de eliminar o mejorar su respuesta si no desea los votos negativos.
Simon East