Integrierte Windows-Authentifizierung in Firefox (über GPO) aktivieren

    Firefox for EnterpriseWährend der Internet Explorer per Vor­ein­stellung die Anmelde­daten des lokalen Be­nutzers an interne IIS-Websites weiter­reicht, muss man dieses Feature für Firefox unter Windows erst akti­vieren. Dies lässt sich inter­aktiv über die Konfigurations­seite des Browsers oder über Gruppen­richt­linien erle­digen.

    Ein Single-Sign-on für interne Websites oder Browser-basierte Tools wie das Windows Admin Center erhöht den Benutzer­komfort erheblich. Neben dem Internet Explorer ist dazu auch Microsoft Edge oder seit einiger Zeit auch Google Chrome in der Lage.

    Konfiguration der Windows-Authentifizierung per GUI

    Grundsätzlich unterstützt auch Mozilla Firefox die integrierte Windows-Authentifizierung, so dass eine separate Anmeldung an Websites entfällt, wenn diese unter dem Microsoft-OS laufen. Diese Funktion ist jedoch per Voreinstellung deaktiviert.

    Standardmäßig authentifiziert Firefox den lokalen Windows-Benutzer nicht automatisch gegenüber einem internen Web-Server.

    Wenn man sie interaktiv einschalten will, dann gibt man in die Adresszeile des Browsers

    about:config

    ein. Nach Bestätigung der Warn­meldung gelangt man auf die Konfigurations­seite. Dort sucht man nach "network.automatic" und öffnet anschließend aus der Trefferliste die Einstellung

    network.automatic-ntlm-auth.trusted-uris

    durch Doppelklick. Firefox erlaubt hier jedoch kein pauschales Freischalten der delegierten Authenti­fizierung, sondern beschränkt diese auf einzelne Hosts.

    Eingabe der Namen von Rechnern, bei denen Firefox ein SSO unterstützen soll.

    In den folgenden Dialog gibt man daher die Namen der Rechner ein, für die das SSO klappen soll. Das tut man genau in der Form, in der man nachher die URL aufruft. Nimmt man hier den FQDN des Web-Servers, dann zeigt Firefox wieder einen Anmelde­dialog, sobald man die Website bloß über den Hostname abrufen will.

    Möchte man beide Varianten nutzen, dann muss man alle zwei in der Konfiguration des Browsers hinterlegen. Getrennt werden mehrere Einträge hier durch ein Komma.

    SSO über GPO konfigurieren

    In verwalteten Umgebungen kann man Firefox zentral über Gruppen­richtlinien konfigurieren (siehe dazu: Firefox zentral verwalten über GPOs und policies.json). Sie bieten unter Administrative Vorlagen => Mozilla => Firefox => Authentifizierung sowohl in der Computer- als auch in der Benutzer­konfiguration die Einstellung NTLM.

    GPO-Einstellung zur Aktivierung der internen Windows-Authentifizierung für bestimmte Hosts.

    Hier gibt man analog zur interaktiven Konfiguration die Liste der Server für das SSO ein, in diesem Fall jedoch einen Eintrag pro Zeile. Nach einem

    gpupdate /force

    auf dem Client sowie einem Neustart von Firefox sollte diese Änderung greifen.

    Man kann sie unter about:config überprüfen, wo die oben beschriebene Einstellung nun die im GPO eingetragenen Hosts enthalten sollte.

    Nach ihrer Konfiguration über ein GPO lässt sich die Einstellung interaktiv nicht mehr bearbeiten.

    Nachdem sie aber über die Gruppen­richt­linien eingefügt wurden, kann diese Einstellung durch den Benutzer fortan nicht mehr bearbeitet werden.

    Keine Kommentare