Регистрация Войти
Рейтинг:0
Jeremy avatar Server

ADFS: некоторые пользователи не могут войти в систему

флаг in
Jeremy

У меня есть новая реализация ADFS, работающая на сервере 2019. После установки я протестировал аутентификацию для различных учетных записей пользователей с помощью файла /adfs/ls/IdpInitiatedSignon.aspx. Большая часть проверенной мной учетной записи работала без проблем. Однако есть несколько учетных записей, которые демонстрируют следующее поведение:

  • Вход с неверным именем пользователя/паролем приводит к появлению сообщения об ошибке, указывающего, что имя пользователя/пароль неверно. Это ожидаемо и желательно.
  • Вход с правильным именем пользователя/паролем приводит к обновлению страницы и повторному отображению формы входа. Сообщение об ошибке отсутствует. я назову это "обновить вход".

В журнале событий безопасности на сервере ADFS я вижу следующие три события, связанные с «обновлением входа»:

  • Событие 4648. Попытка входа в систему с явными учетными данными.
  • Событие 4624. Успешно выполнен вход в учетную запись.
  • Событие 4625 — не удалось войти в учетную запись (причина ошибки: неизвестное имя пользователя или неверный пароль)

Немного информации:

  • ADFS настроен на использование групповой управляемой учетной записи службы с именем FsGmsa. Он является членом группы доступа к авторизации Windows.
  • «Формы» и «Проверка подлинности Microsoft Passport» включены в качестве основных методов проверки подлинности. Со временем я добавлю Azure MFA.
  • Все тесты проводились в интранете.
  • Все сертификаты действительны и не просрочены.
  • Я получаю одинаковые результаты для одних и тех же пользователей, независимо от того, какой компьютер/устройство используется.
  • Я не могу найти никаких сходств или различий между учетными записями, которые работают, и учетными записями, которые не работают.
448
0 + 0
Jeremy avatar
флаг in
Jeremy
Я обнаружил, что «Группа доступа к авторизации Windows» не имеет доступа к рассматриваемым учетным записям. Мне нужно сделать несколько тестов, но это может быть причиной.
0
Ответить
Рейтинг:2
Jeremy avatar Server
флаг in
Jeremy

Группа авторизации Windows не имел права читать tokenGroupsGlobalAndUniversal имущества на указанных счетах. Это шаги, которые я предпринял для решения проблемы:

  1. Откройте пользователей и компьютеры Active Directory.
  2. Перейти к Вид меню и убедитесь, что Расширенные возможности опция проверена.
  3. Открыть Характеристики для нужной учетной записи пользователя.
  4. Щелкните Безопасность вкладка
  5. Щелкните Передовой кнопка.
  6. Ищите Позволять запись для принципала «Группа доступа авторизации Windows».
    • Если есть запись, нажмите кнопку Редактировать кнопка.
    • Если там есть нет запись, нажмите кнопку «Добавить».
  7. Верхняя часть Разрешение на вход должно быть следующим:
    • Главный: Группа авторизации Windows
    • Тип: Позволять
    • Относится к: Только этот объект
  8. Если это новая запись, прокрутите окно до конца и нажмите кнопку Очистить все кнопка.
  9. Добавьте чек в Читать tokenGroupsGlobalAndUniversal имущество. Он находится ближе к концу списка.
  10. Нажмите ХОРОШО закрыть Разрешение на вход окно.
  11. Нажмите ХОРОШО закрыть Расширенные настройки безопасности окно.
  12. Нажмите ХОРОШО на счет Характеристики окно.

Вам нужно будет повторить шаги 3-12 для других рассматриваемых учетных записей.После этого проверьте свои учетные записи, и они должны войти без проблем.

0 + 0
Koon Sang avatar
флаг id
Koon Sang
Ваш ответ дал мне ключ к аналогичной проблеме, которую я пытался решить в течение нескольких месяцев. Теперь моя проблема решена путем запуска службы Windows в качестве системной учетной записи входа. Спасибо.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.