Authentication
ADFS:某些使用者無法登錄
我在 Server 2019 上執行了一個新的 ADFS 實現。設置後,我使用 /adfs/ls/IdpInitiatedSignon.aspx 測試了各種使用者帳戶的身份驗證。我測試的大多數帳戶都可以正常工作,沒有任何問題。但是,有一些帳戶表現出以下行為:
- 使用錯誤的使用者名/密碼登錄會導致顯示使用者名/密碼不正確的錯誤消息。這是預期的和可取的。
- 使用正確的使用者名/密碼登錄會導致頁面刷新,再次顯示登錄表單。沒有錯誤資訊。我將此稱為*“刷新登錄”*。
在 ADFS 伺服器上的安全事件日誌中,我看到以下三個與“刷新登錄”相關的事件:
- 事件 4648 - 嘗試使用顯式憑據登錄。
- 事件 4624 - 帳戶已成功登錄。
- 事件 4625 - 帳戶登錄失敗(失敗原因:未知使用者名或密碼錯誤)
幾條資訊:
- ADFS 配置為使用名為 FsGmsa 的組託管服務帳戶。它是 Windows 授權訪問組的成員。
- 啟用“表單”和“Microsoft Passport 身份驗證”作為主要身份驗證方法。我最終將添加 Azure MFA。
- 所有測試都在內網執行。
- 所有證書均有效且未過期。
- 無論使用什麼電腦/設備,對於相同的使用者,我都會得到相同的結果。
- 我找不到有效的帳戶和無效的帳戶之間的任何相似之處或差異。
Windows 授權訪問組無權讀取相關帳戶的tokenGroupsGlobalAndUniversal屬性。這些是我為解決此問題而採取的步驟:
- 打開 Active Directory 使用者和電腦
- 轉到查看菜單並確保選中高級功能選項。
- 打開所需使用者帳戶的屬性。
- 點擊安全選項卡。
- 點擊高級按鈕。
- 查找“Windows 授權訪問組”主體的允許條目。
- 如果有條目,請點擊編輯按鈕。
- 如果沒有條目,請點擊“添加”按鈕。
- 權限條目的頂部應如下所示:
- 主體:Windows 授權訪問組
- 類型:允許
- 適用於:僅此對象
- 如果這是一個新條目,請一直滾動到視窗底部,然後點擊全部清除按鈕。
- 對Read tokenGroupsGlobalAndUniversal屬性添加檢查。它接近列表的底部。
- 點擊“確定”關閉“權限條目”視窗。
- 點擊“確定”關閉“*高級安全設置”*視窗。
- 點擊“確定”進入帳戶屬性視窗。
您將需要對有問題的其他帳戶重複步驟 3-12。之後,測試您的帳戶,他們應該可以毫無問題地登錄。