Firefox 0.9.1 + ISA autentikáció

A Firefox feature fórumba elküldtem egy requestet:
http://forums.mozillazine.org/viewtopic.php?t=96068

Ha valaki még hozzá tud fűzni valamit, akkor tegye meg ott (is). Meg a támogatás se ártana... :) Minél többen kérjük, annál valószínűbb, hogy valaki foglalkozik vele.

[quote:76e53fc636="Anonymous"]MIT Kerberos for Windows

Ez lehet, hogy hasznos lehet még... Kösz.

Van még valakinek ötlete, vagy küldjem a feature request-et?

Jobb híján a security-all fórumba írok, tekintve, hogy mivel a probléma erősen windows only de Firefox specifikus, ezért a többi fórumba még kevéssé passzol. Ha tudtok neki jobb helyet, szóljatok...

Tehát: Múltkorjában felraktam a céges gépemre Firefox-ot (mert egyértelműen jobb mint a default IE), de igen hamar idegbajt fogok kapni, ha minden egyes alkalommal amikor el akarom érni az internetet újra meg újra autentikálnom kell magam az IIS szervernek.
Tudom, hogy ez beépített security feature, de ha napjaban 100-szor kell beírnom a saját céges proxy szerverünknek a default windows-os logint, akkor inkább maradok a "nagy rakás ****" Explorernél, ami legalább figyelembe veszi az SSO elvét - még ha ez kevésbé biztonságos is. A belső céges hálóban én úgy döntöttem, hogy megbízom...

Legjobb emlékeim szerint pár hete volt egy ehhez kapcsolódó hír vagy fórumtéma, de most valahogy nem találom...

Csak a tisztesség kedvéért a következőt szeretném: úgy beállítani/felpatchelni a Firefoxot, hogy az IIS szerver felé való NTLM autentikácó során használja a windowsba bejelentkezésnél egyszer már megadott logint és jelszót.

Van valakinek ötlete?

Ja igen, az IIS szerver állítgatása nem opció sajnos...

Jogos, elírtam. ISA, nem IIS.
Másrészt meg nem kínálja fel, hogy elmentse. De az OK-t meg nem minden Firefox újraindítás után kellene nyomni? Mert azzal majdnem ugyanott vagyok...

[quote:eda39095c3="vmiklos"]http://tldp.org/HOWTO/Web-Browsing-Behind-ISA-Server-HOWTO.html
bocs, ez nem segít? :wink:

Igen, azt hiszem az emlegetett cikkben/fórumban is pont erről volt szó (ezt kerestem). Teszek vele egy próbát, de így elsőre jónak tűnik.
Kösz.

Na megnéztem pár dolgot.
1. A Firefox azért nem ajánlotta fel, hogy elmentse a logint/jelszót, mert kikapcsoltam ezt a funkcióját. Sajnos akkor sem állok sokkal jobban, ha bekapcsolom. Ekkor ugyanis elmenti, de minden egyes újraindításnál megint le kell OK-znom a dialógot. Ez mondjuk kevésbé idegesítő, de még mindig egy nyűg.
2. Megnéztem a http://tldp.org/HOWTO/Web-Browsing-Behind-ISA-Server-HOWTO.html címen emlegetett "NTLM Authorization Proxy Server" python scriptet. Ezzel csak két problémám van: a) a konfig file-ban plaintext-ben tárolja a jelszavamat (vagy induláskor bekéri), és b) szüksége van egy command promptra amiben fusson - vagyis amíg megy, végig ott figyel egy plusz ablak a desktopomon - készen arra, hogy véletlenül bezárjam például. Meg egyébként is...

Őszintén szólva leginkább egy patchet szeretnék a Firefoxhoz, ami lekérdezi a beloggolt user "windows credentials"-ait, és azt használja a proxy felé autentikálásra. Gondolom hivatalos változatban nem létezik a dolog, de ha nem hivatalosan sem, akkor szomorú leszek...

Legrosszabb esetben kénytelen leszek magam megírni, de nemtudom ez mennyi időt venne igénybe...

Hát utánanéztem pár dolognak. Megpróbálom érthető módon összefoglalni a dolgokat - már amennyire én értem.

Tehát Win2K-tól felfelé (NT4-et felejtsük el, jó?) a dózer alapvetően Kerberossal autentikál egy windowsos domain-en belül. Ha ez valamely szerver felé nem akar menni, akkor fallback van NTLM-re (ami NT4-ig volt az autentikációs protokoll - mellesleg tele sechole-okkal). Namost mint kiderült, az ISA szerver is először megpróbálkozik Kerberos autentikációval - ami a mozilla source alapján azért nem megy, mert nincsen benne. Ebben mondjuk könnyen lehet, hogy tévedek, mert csak egy éjszakát szántam a source átböngészésére :). Ez mondjuk azért meglepő, mert ha jól látom (http://meta.cesnet.cz/software/heimdal/negotiate.en.html) az 1.3-ashoz már volt egy Kerberos patch. Lehet, hogy a végén nem volt olyan állapotban, hogy be lehetett volna illeszteni?

A dolog másik fele az NTLM támogatás. Ez már van a Mozillában/Firefoxban, de a gond az, hogy a user/password értékek nem a windows credentials cache-ből vannak kivéve, hanem külön bekéri a Mozilla. A jelszó a credentials cache-ben persze csak hash-elve van, de úgy tűnik, hogy a Kerberos és az NTLM is ugyanezt a hash értéket használja.

Tehát ha jól látom a helyzetet, akkor kétféleképp is megoldható lenne a probléma: egyrészt a jelenlegi NTLM autentikációt kellen felokosítani, hogy használja már a credentials cache-t (esetleg egy preferences kapcsolóval), vagy betolni egy Kerberos megvalósítást (szintén a credentials cache használatával). Nyilván ez utóbbi lenne üdvösebb.

Meg egy hasznos link a windows login procedúráról: http://www.mcmcse.com/win2k/guides/kerberos.shtml.

Tud a fentiekhez valaki még hozzátenni valamit? Vajon van értelme ezt így beküldeni a Firefox-os fejlesztőknek?