ADFS: некоторые пользователи не могут войти в систему

tag-icon tag-icon authentication adfs
ADFS: некоторые пользователи не могут войти в систему

У меня есть новая реализация ADFS, работающая на Server 2019. После настройки я протестировал аутентификацию для различных учетных записей пользователей с помощью /adfs/ls/IdpInitiatedSignon.aspx. Большинство учетных записей, которые я протестировал, работали нормально, без проблем. Однако есть несколько учетных записей, которые демонстрируют следующее поведение:

  • Вход с неправильным именем пользователя/паролем приводит к сообщению об ошибке, указывающему на то, что имя пользователя/пароль неверны. Это ожидаемо и желательно.
  • Вход с правильным именем пользователя/паролем приводит к обновлению страницы, снова отображая форму входа. Сообщения об ошибке нет. Я назову это"обновить вход".

В журнале событий безопасности на сервере ADFS я вижу следующие три события, связанные с «обновлением входа»:

  • Событие 4648 — Была предпринята попытка входа с использованием явных учетных данных.
  • Событие 4624 — вход в учетную запись выполнен успешно.
  • Событие 4625 — Не удалось войти в учетную запись (причина сбоя: неизвестное имя пользователя или неверный пароль)

Немного информации:

  • ADFS настроен на использование групповой управляемой учетной записи службы FsGmsa. Она является членом группы авторизации доступа Windows.
  • "Forms" и "Microsoft Passport Authentication" включены как основные методы аутентификации. В конечном итоге я добавлю Azure MFA.
  • Все тесты проводились в интрасети.
  • Все сертификаты действительны и не просрочены.
  • Я получаю одни и те же результаты для одних и тех же пользователей, независимо от того, какой компьютер/устройство используется.
  • Я не могу найти никаких сходств или различий между аккаунтами, которые работают, и аккаунтами, которые не работают.

решение1

TheГруппа доступа к авторизации Windowsне имел полномочий читатьtokenGroupsGlobalAndUniversalимущество на счетах, о которых идет речь. Вот шаги, которые я предпринял для решения проблемы:

  1. Откройте Active Directory — пользователи и компьютеры
  2. Перейти кВидменю и убедитесь, чтоРасширенные возможностиопция отмечена.
  3. ОткройХарактеристикидля желаемой учетной записи пользователя.
  4. Нажмите наБезопасностьвкладка.
  5. Нажмите наПередовойкнопка.
  6. ИщитеПозволятьзапись для субъекта «Группа доступа к авторизации Windows».
    • Если есть запись, нажмитеРедактироватькнопка.
    • Если естьнетзапись, нажмите кнопку «Добавить».
  7. Верхняя частьРазрешение на записьдолжно быть следующим:
    • Главный:Группа доступа к авторизации Windows
    • Тип:Позволять
    • Относится к:Только этот объект
  8. Если это новая запись, прокрутите окно до конца и нажмите кнопкуОчистить всекнопка.
  9. Добавьте чек кПрочитать токенGroupsGlobalAndUniversalсвойство. Он находится почти в самом низу списка.
  10. НажмитеХОРОШОзакрытьРазрешение на записьокно.
  11. НажмитеХОРОШОзакрытьРасширенные настройки безопасностиокно.
  12. НажмитеХОРОШОна счетХарактеристикиокно.

Вам нужно будет повторить шаги 3-12 для других учетных записей, о которых идет речь. После этого проверьте свои учетные записи, и они должны войти в систему без проблем.

Связанный контент