[megoldva] Firefox blokkol intranetes oldalakat, amiket a Chrome enged

 ( szz | 2014. július 31., csütörtök - 16:49 )

Linux alatt küzdök a munkahelyi belső hálózattal. Végre megoldódott a NAC kliens böngészőből való futtatása (a /usr/lib/mozilla/plugins/libjavaplugin_oji.so helyére varázslásával), de meglepetésemre a legtöbb belső, intranetes webhelyet nem engedi elérni a Firefox (31). Először azt hittem, a (belső hálózatról való) NAC kliens le nem futásával (és esetleg a "csúnya hálózat" memorizálásával) van ez is kapcsolatban, de nem. (A Google Chrome egyébként megjeleníti ezen oldalakat.)

Szerk: Megoldás:
Az about:config megnyitása után rákerestem erre: ntml, majd kitöltöttem ezt:

network.automatic-ntlm-auth.trusted-uris (ötlet innen: http://sivel.net/2007/05/firefox-ntlm-sso/ ), valamint ezt is átállítottam (valószínűleg ez volt az áttörés):

network-negotiate-auth.allow-insecure-ntlm-v1 -> true

Tulajdonképp az vezetett a megoldásra, hogy megnéztem a HTTP fejléceket, s láttam, hogy az NTLM hitelesítéssel van kapcsolatban a dolog. Köszönet mindenkinek a fejtörésért!

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Hogy érted azt, hogy "nem enged elérni"? Valami hibaüzenet esetleg?

Fehér lap látszik, semmi hibaüzenet.

terminálban?

A terminálból elindított Firefox parancssori kimenetén nem látok semmi relevánsat. Egyébként Midoriban is csak fehér lap látszik. Esetleg curl:

curl -i http://ValamiUrl.belso.halo/Ezaz

HTTP/1.0 401 Unauthorized
Server: Microsoft-IIS/7.0
WWW-Authenticate: Negotiate
WWW-Authenticate: NTLM
X-Powered-By: ASP.NET
MicrosoftSharePointTeamServices: 12.0.0.6335
Date: Tue, 05 Aug 2014 10:05:42 GMT
Content-Length: 0
Proxy-support: Session-Based-Authentication
Connection: Proxy-support
X-Cache: MISS from frontendt2
X-Cache-Lookup: MISS from frontendt2:3128
Connection: keep-alive
Proxy-Connection: keep-alive

Ha a Firefoxból kérek (webdeveloper-es) Response Header információt, akkor is hasonló a helyzet:

Server: Microsoft-IIS/7.0
WWW-Authenticate: Negotiate
NTLM
X-Powered-By: ASP.NET
MicrosoftSharePointTeamServices: 12.0.0.6335
Date: Tue, 05 Aug 2014 10:12:37 GMT
Content-Length: 0
401 Unauthorized

Ám a Google Chrome-ban valahogy rendben van a dolog:

HTTP/1.1 304 NOT MODIFIED
Cache-Control: private,max-age=0
Content-Length: 0
Server: Microsoft-IIS/7.0
Exires: Mon, 21 Jul 2014 10:28:14 GMT
Public-Extension: http://schemas.microsoft.com/repl-2
X-Powered-By: ASP.NET
MicrosoftSharePointTeamServices: 12.0.0.6335
Date: Tue, 05 Aug 2014 10:28:14 GMT

Nem lehet, hogy saját magatok által előállított cert, https-hez? Ha igen, tanulmányozd a certutil parancsot! Tehát ne a böngésző grafikus felületén keresd a megoldást. A minap csináltam, valami ilyesmi lett:

cd
certutil -A -i certfile -n egynév -t C -d .mozilla/firefox/valami.default

Fejből írom, szóval fenntartással és manual olvasgatással tekintsd.


tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Köszi az ötletet!

Egyelőre nem jutottam dűlőre, de egy kerülő megoldás eszembe jutott minderről.
Átneveztem a .mozilla könyvtáramat valami másra, és elindítottam a Firefoxot. Ugyanazt csinálja, mint korábban, magyarán nem a saját (.mozilla alatti) beállításai okoznak gondot. :-(

[A Google Chrome meg vígan mutogatja az intranetes oldalakat továbbra is, szemrebbenés nélkül.]

Milyen naplófájlban érdemes utánanézni az eseményeknek?

Tévúton jársz, nem értetted meg, amit írtam. Nem a profilod rossz, hanem arról van szó, hogy az újabb Firefox szigorú, nem engedi meg a szerver saját maga által generált aláírásait, tehát csak azokat engedi meg, amelyeket személyigazolvánnyal, fényképpel élőben igazoltak hitelesítő szervezeteknél. Ez viszont pénzbe kerül.

Azt tudod tenni, amit írtam, hogy a Firefox aláírásokat tároló adatbázisába felveszed hitelesnek azt az aláírást, amellyel gondod adódik, mégpedig úgy, ahogy írtam.


tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Köszi, igazad lehet. Feltettem a certutilt, próbálom... A -i-vel megadott certfile-t honnan kéne beszereznem/megcsinálnom?

+1

Itt lehet a kutya elásva. szz, írd már meg, kérlek, hogy HTTPS-es oldalakról van-e szó!

Nem https-es, sima http-s. Ez aláássa a certutil-os irányt? :-/

Attól tartok, bár nem értek hozzá, nem tudom, pontosan mi van nálatok. Esetleg azt nézd meg, hogy nincs-e valamilyen kiegészítő, add-on, ami miatt nem megy az oldal.


tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Hm, tanulságos. Ez az NTLM fileszerver eléréseknél, samba kiszolgáló esetében aktuális dolog, vagy más esetben is? Tehát hogyan kerül képbe a böngésző kliens és a szerver viszonylatában?


tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Nem vagyok járatos a témában. Azt látom itt: http://en.wikipedia.org/wiki/NT_LAN_Manager, hogy ez az NTML egy elterjedt hitelesítési protokoll, és emiatt akár webhelyeket is lehet így autentikálni. Ebből meg az derült ki, hogy gyakran így oldják meg az egyszeri hitelesítést (single sign-on).

Ahh, ilyet mar en is lattam, mondjuk csak egy (intranet) site eseteben.
Azt hiszem FF 30.0-ban valtoztattak meg a beallitast.