我目前正在使用尝试设置DSSO与Okta利用Firefox。我已经能够成功地设置边缘/Chrome/IE在域上没有问题。我已经设置了以下文档概述了在Okta网站上设置Firefox没有用。我们一直在与OktaMaven故障排除在过去三天没有任何进展,所以我想我会张贴在这里可用的信息:
- Firefox版本107.0.1 32位
- TLS 1.2版
- NTLM第2版
- Windows服务器2019
agentlessDssoPrecheck返回的结果:{"result" : "FAIL_NTMLSSP"}-(这不是拼写错误;返回应该是NTLM,但不管怎样)
我在Firefox中设置了以下选项:
网络。协商-认证。信任-uris。org。kerberos。okta.com
网络协商-授权-统一资源管理系统org. kerberos. okta. com
网络.协商-授权.允许-非fqdntrue
网络.协商-授权.允许-代理true
网络。自动-ntlm-身份验证。可信-urisorg。kerberos.okta.com
网络自动验证允许非fqdntrue
我尝试使用set NSPR_LOG_MODULES = negotiateauth:5来提取日志,但是尽管Firefox确实创建了日志,但它并没有写入任何内容,包括失败到日志中。(如果我将值设置为all:5,我会得到大量的信息,它似乎对我试图解决的问题毫无用处)
我试图获取fiddler和Wireshark的信息;我还没有设置Wireshark部分的解码;然而,我确实得到了fiddler信息的摘录,但我没有发现其中任何似乎表明故障发生原因的内容。
我有一个怀疑已在Edge和Chrome中设置以下选项:* * DisableAuthNegotiateCnameLookup = enable**-我在Firefox中没有看到这样的选项,或者类似的可以调整该值的选项。
分享一些其他信息:
Firefox is connecting to and submitting an authentication message to org.kerberos.okta.com; however, it appears to be in the wrong format.
"""收到的授权标头包含原始NTLM令牌,预检查将失败。Okta没有获取Kerberos票证,而是获取原始NTLM令牌。"""
1条答案
按热度按时间bfnvny8b1#
带有Kerberos的Firefox可能对反向名称查找敏感。
出于测试目的,您是否尝试过在hosts文件中设置一个手动条目以返回正确的DNS名称?
我很想知道您使用以下筛选器从Wireshark获得的结果
域名系统||Kerberos协议