使用Firefox进行Windows域身份验证

我们在域中有许多内部网站：

• a.blah.com
• b.bhah.com
• c.blah.com

IE使用当前已登录的域用户自动进行身份验证，但是Firefox会弹出一个登录框，如果引用了不同内部站点上的资产，则有时每个页面加载多次。我已经尝试按照这篇文章的建议修改about：config，但是并不能解决问题。

有人对使用登录的域用户如何使Firefox进行身份验证有其他建议吗？我目前正在使用IETab firefox插件通过IE引擎加载这些内部页面，但我希望使用更简单的解决方案...

我认为这将涵盖您：

http://markmonica.com/2007/11/20/firefox-and-integrated-windows-authentication/

如何配置Firefox

1. 开启Firefox
2. 在地址栏中输入：about：config
3. Firefox3.x和更高版本要求您同意必须谨慎操作。
4. 加载配置页面后，在过滤器框中键入：network.automatic
5. • 通过双击该行并输入http://www.replacewithyoursite.com来修改network.automatic-ntlm-auth.trusted-uris
6. • 可以用逗号分隔多个站点，例如http : //www.replacewithyoursite.com，http://www.replacewithyourintranetsite.com

如果您在使用Kerberos进行身份验证的网络上，则应尝试以下操作。

在Firefox中打开about：config，然后通过过滤器“ network.negotiate-auth”进行导航。您将看到一些与Kerberos / GSSAPI身份验证有关的设置。

感兴趣的两个将是“ network.negotiate-auth.delegation-uris”和“ network.negotiate-auth.trusted-uris”。听起来您需要进行身份验证的所有站点都在一个域下，因此以下设置应该适合您。

network.negotiate-auth.delegation-uris => http：// network.negotiate-auth.trusted-uris => blah.com

如果需要设置多个站点/域，则可以将后者修改为以下内容。

network.negotiate-auth.trusted-uris => a.blah.com，b.blah.com，c.blah.com

您应该注意的一个警告是，委派uri最好使用https而不是http。如果您处于封闭的专用网络中，通常这没什么大不了的，但是您将可以通过互联网访问中间人漏洞。如果希望两者都允许，则可以使用以下内容。

network.negotiate-auth.delegation-uris => http：//，https：//

关于brendan的评论，network.negotiate-auth.trusted-uris的值与您为network.automatic-ntlm-auth.trusted-uris设置的值相同，以启用NTLM。在大多数使用Windows 2003或更高版本的服务器上；您将看到在NTLM之前尝试进行协商。

如果您不是以Windows域用户身份登录的，则Firefox无法为设置通用登录名*.blah.com。

跟踪为Mozilla Bug 589628。