windows Firefox Okta集成,设置无代理DSSO

ulmd4ohb  于 2023-01-06  发布在  Windows
关注(0)|答案(1)|浏览(131)

我目前正在使用尝试设置DSSO与Okta利用Firefox。我已经能够成功地设置边缘/Chrome/IE在域上没有问题。我已经设置了以下文档概述了在Okta网站上设置Firefox没有用。我们一直在与OktaMaven故障排除在过去三天没有任何进展,所以我想我会张贴在这里可用的信息:

  1. Firefox版本107.0.1 32位
  2. TLS 1.2版
  3. NTLM第2版
  4. Windows服务器2019
    agentlessDssoPrecheck返回的结果:
    {"result" : "FAIL_NTMLSSP"}-(这不是拼写错误;返回应该是NTLM,但不管怎样)
    我在Firefox中设置了以下选项:
    网络。协商-认证。信任-uris。org。kerberos。okta.com
    网络协商-授权-统一资源管理系统org. kerberos. okta. com
    网络.协商-授权.允许-非fqdntrue
    网络.协商-授权.允许-代理true
    网络。自动-ntlm-身份验证。可信-urisorg。kerberos.okta.com
    网络自动验证允许非fqdntrue
    我尝试使用set NSPR_LOG_MODULES = negotiateauth:5来提取日志,但是尽管Firefox确实创建了日志,但它并没有写入任何内容,包括失败到日志中。(如果我将值设置为all:5,我会得到大量的信息,它似乎对我试图解决的问题毫无用处)
    我试图获取fiddler和Wireshark的信息;我还没有设置Wireshark部分的解码;然而,我确实得到了fiddler信息的摘录,但我没有发现其中任何似乎表明故障发生原因的内容。
    我有一个怀疑已在Edge和Chrome中设置以下选项:* * DisableAuthNegotiateCnameLookup = enable**-我在Firefox中没有看到这样的选项,或者类似的可以调整该值的选项。
    分享一些其他信息:
    Firefox is connecting to and submitting an authentication message to org.kerberos.okta.com; however, it appears to be in the wrong format.
    """收到的授权标头包含原始NTLM令牌,预检查将失败。Okta没有获取Kerberos票证,而是获取原始NTLM令牌。"""
bfnvny8b

bfnvny8b1#

带有Kerberos的Firefox可能对反向名称查找敏感。
出于测试目的,您是否尝试过在hosts文件中设置一个手动条目以返回正确的DNS名称?
我很想知道您使用以下筛选器从Wireshark获得的结果
域名系统||Kerberos协议

相关问题