Authentication

ADFS:某些使用者無法登錄

  • September 22, 2021

我在 Server 2019 上執行了一個新的 ADFS 實現。設置後,我使用 /adfs/ls/IdpInitiatedSignon.aspx 測試了各種使用者帳戶的身份驗證。我測試的大多數帳戶都可以正常工作,沒有任何問題。但是,有一些帳戶表現出以下行為:

  • 使用錯誤的使用者名/密碼登錄會導致顯示使用者名/密碼不正確的錯誤消息。這是預期的和可取的。
  • 使用正確的使用者名/密碼登錄會導致頁面刷新,再次顯示登錄表單。沒有錯誤資訊。我將此稱為*“刷新登錄”*。

在 ADFS 伺服器上的安全事件日誌中,我看到以下三個與“刷新登錄”相關的事件:

  • 事件 4648 - 嘗試使用顯式憑據登錄。
  • 事件 4624 - 帳戶已成功登錄。
  • 事件 4625 - 帳戶登錄失敗(失敗原因:未知使用者名或密碼錯誤)

幾條資訊:

  • ADFS 配置為使用名為 FsGmsa 的組託管服務帳戶。它是 Windows 授權訪問組的成員。
  • 啟用“表單”和“Microsoft Passport 身份驗證”作為主要身份驗證方法。我最終將添加 Azure MFA。
  • 所有測試都在內網執行。
  • 所有證書均有效且未過期。
  • 無論使用什麼電腦/設備,對於相同的使用者,我都會得到相同的結果。
  • 我找不到有效的帳戶和無效的帳戶之間的任何相似之處或差異。

Windows 授權訪問組無權讀取相關帳戶的tokenGroupsGlobalAndUniversal屬性。這些是我為解決此問題而採取的步驟:

  1. 打開 Active Directory 使用者和電腦
  2. 轉到查看菜單並確保選中高級功能選項。
  3. 打開所需使用者帳戶的屬性。
  4. 點擊安全選項卡。
  5. 點擊高級按鈕。
  6. 查找“Windows 授權訪問組”主體的允許條目。
  • 如果有條目,請點擊編輯按鈕。
  • 如果沒有條目,請點擊“添加”按鈕。
  1. 權限條目的頂部應如下所示:
  • 主體Windows 授權訪問組
  • 類型允許
  • 適用於僅此對象
  1. 如果這是一個新條目,請一直滾動到視窗底部,然後點擊全部清除按鈕。
  2. 對Read tokenGroupsGlobalAndUniversal屬性添加檢查。它接近列表的底部。
  3. 點擊“確定”關閉“權限條目”視窗。
  4. 點擊“確定”關閉“*高級安全設置”*視窗。
  5. 點擊“確定”進入帳戶屬性視窗。

您將需要對有問題的其他帳戶重複步驟 3-12。之後,測試您的帳戶,他們應該可以毫無問題地登錄。

引用自:https://serverfault.com/questions/1078222