Вопросы Теги

ADFS:Некоторые пользователи не могут войти в систему-В

. У меня есть новая реализация ADFS, работающая на сервере 2019. После настройки я протестировал аутентификацию для различных учетных записей пользователей с помощью файла /adfs/ls/IdpInitiatedSignon.aspx. Большая часть проверенной мной учетной записи работала без проблем. Однако есть несколько учетных записей, которые демонстрируют следующее поведение::

  • Вход с неправильным именем пользователя/паролем приводит к появлению сообщения об ошибке, указывающего, что имя пользователя/пароль неверно. Это ожидаемо и желательно.
  • Вход с правильным именем пользователя/паролем приводит к обновлению страницы и повторному отображению знака-в форме. Сообщение об ошибке отсутствует. Я назову это "обновить вход-в" .

В журнале событий безопасности на сервере ADFS я вижу следующие три события, связанные с «обновить вход-в»:

  • Событие 4648 -Попытка входа в систему с использованием явных учетных данных.
  • Событие 4624 -Успешно выполнен вход в учетную запись.
  • Событие 4625 -Не удалось войти в учетную запись (Причина сбоя:Неизвестное имя пользователя или неверный пароль)

Немного информации:

  • ADFS настроен на использование групповой управляемой учетной записи службы ФсГмса. Он является членом группы доступа к авторизации Windows.
  • «Формы» и «Проверка подлинности Microsoft Passport» включены в качестве основных методов проверки подлинности. Со временем я добавлю Azure MFA.
  • Все тесты проводились во внутренней сети.
  • Все сертификаты действительны и не просрочены.
  • Я получаю одинаковые результаты для одних и тех же пользователей, независимо от используемого компьютера/устройства.
  • Я не могу найти никаких сходств или различий между учетными записями, которые работают, и учетными записями, которые не работают.
0
задан 21 September 2021 в 18:37
1 ответ

Группа авторизации Windows не имеет права на чтение свойства tokenGroupsGlobalAndUniversal рассматриваемых учетных записей. Это шаги, которые я предпринял для устранения проблемы.:

  1. Откройте Active Directory Users and Computers
  2. Перейдите в меню View и убедитесь, что опция Advanced Features отмечена.
  3. Откройте Свойства для нужной учетной записи пользователя.
  4. Перейдите на вкладку Безопасность .
  5. Нажмите кнопку Дополнительно .
  6. Найдите запись Разрешить для принципала «Группа доступа авторизации Windows».
    • Если есть запись, нажмите кнопку Изменить .
    • Если есть , а не запись, нажмите кнопку «Добавить».
  7. Верхний раздел Запись разрешений должен быть следующим:
    • Принципал:Группа доступа авторизации Windows
    • Тип:Разрешить
    • Применяется к:Только для этого объекта
  8. Если это новая запись, прокрутите окно до конца и нажмите кнопку Очистить все .
  9. Добавьте проверку свойства Read tokenGroupsGlobalAndUniversal . Он находится ближе к концу списка.
  10. Нажмите OK , чтобы закрыть окно Ввод разрешений .
  11. Нажмите OK , чтобы закрыть окно Дополнительные параметры безопасности .
  12. Нажмите OK для входа в окно Свойства учетной записи.

Вам нужно будет повторить шаги 3-12 для других рассматриваемых учетных записей. После этого проверьте свои учетные записи, и они должны войти-без проблем.

2
ответ дан 22 September 2021 в 14:44

Теги

Похожие вопросы