Safari 7 không thể kết nối với mạng nội bộ bằng xác thực HTTP

Xem CẬP NHẬT bên dưới để biết thông tin mới về các yêu cầu HTTP thực tế đang diễn ra dưới mui xe.

Vì vậy, tôi đã bắt đầu một công việc mới vào tháng Mười. Đây chủ yếu là một cửa hàng Windows và họ sử dụng IIS và Active Directory cho một loạt các nội dung. Họ có một trang web mạng nội bộ tại intranet.companyname.com.

Trong Chrome trên Mavericks, khi tôi đến đó, tôi nhận được danh sách thả xuống HTTP xác thực nhỏ dự kiến:

nơi tôi có thể nhập tên người dùng và mật khẩu của mình. Tôi không nhanh tay với Active Directory, nhưng tôi đoán msgdlà miền Active Directory tôi đang bật, vì vậy tôi nhập msgd\lheidbredervà mật khẩu của mình và tôi có thể đăng nhập thành công trong Chrome.

Quay trở lại vào tháng 10, lần đầu tiên tôi thử điều này trong Safari, tôi đã gặp một số hành vi kỳ lạ; Giống như, tôi đã thấy mật khẩu, nhưng sau đó nó không hoạt động khi tôi nhập thông tin đăng nhập. Tôi không nhớ chính xác những gì nó đã làm.

Nhưng sau lần thử đầu tiên đó và trên mọi nỗ lực kể từ đó, khi tôi cố gắng đi tới intranet.companyname.com, Safari hiển thị một màn hình trống:

Màn hình không thay đổi và thanh tiến trình lấp đầy khoảng 20% ​​và vẫn ở đó.

CẬP NHẬT

Tôi đã chạy một ứng dụng để theo dõi các yêu cầu HTTP và tôi đã tìm ra điều này đang làm đằng sau hậu trường. Nó không chỉ ngồi đó; Safari thực sự đang yêu cầu trang gần 1000 lần mỗi giây và mỗi lần, nó lại gặp lỗi 401 và trang lỗi HTML với tiêu đề "Bạn không được phép xem trang này".

Trên một yêu cầu ví dụ từ giữa một lần thử tải, Safari sẽ gửi Authorizationtiêu đề này :

Negotiate YEgGBisGAQUFAqA+MDygDjAMBgorBgEEAYI3AgIKoioEKE5UTE1TU1AAAQAAAAUCiGIAAAAAGAAAAAAAAAAYAAAABgGwHQ8AAAA=

Và máy chủ trả lời với WWW-Authenticatetiêu đề này :

Negotiate oYIBIzCCAR+gAwoBAaEMBgorBgEEAYI3AgIKooIBCASCAQROVExNU1NQAAIAAAAOAA4AOAAAAAUCiWKPhp0o8/Y/9gAAAAAAAAAAvgC+AEYAAAAFAs4OAAAAD0EAUgBJAFMAVwBFAEIAAgAOAEEAUgBJAFMAVwBFAEIAAQAMAE4ARQBXAFcARQBCAAQAKgBhAHIAaQBzAHcAZQBiAC4AYQByAGkAcwB0AG8AdABsAGUALgBuAGUAdAADADgATgBFAFcAVwBFAEIALgBhAHIAaQBzAHcAZQBiAC4AYQByAGkAcwB0AG8AdABsAGUALgBuAGUAdAAFACoAYQByAGkAcwB3AGUAYgAuAGEAcgBpAHMAdABvAHQAbABlAC4AbgBlAHQAAAAAAA==

Trong yêu cầu tiếp theo, Safari gửi một Authorizationtiêu đề giống hệt nhau và sau đó máy chủ trả lời với một WWW-Authenticatetiêu đề rất khác nhau :

Negotiate oYIBIzCCAR+gAwoBAaEMBgorBgEEAYI3AgIKooIBCASCAQROVExNU1NQAAIAAAAOAA4AOAAAAAUCiWLa6vytPOG0owAAAAAAAAAAvgC+AEYAAAAFAs4OAAAAD0EAUgBJAFMAVwBFAEIAAgAOAEEAUgBJAFMAVwBFAEIAAQAMAE4ARQBXAFcARQBCAAQAKgBhAHIAaQBzAHcAZQBiAC4AYQByAGkAcwB0AG8AdABsAGUALgBuAGUAdAADADgATgBFAFcAVwBFAEIALgBhAHIAaQBzAHcAZQBiAC4AYQByAGkAcwB0AG8AdABsAGUALgBuAGUAdAAFACoAYQByAGkAcwB3AGUAYgAuAGEAcgBpAHMAdABvAHQAbABlAC4AbgBlAHQAAAAAAA==

Lặp lại quảng cáo vô hạn.

Tôi đã thử xóa mọi thứ khớp với intranetKeychain Access và xóa toàn bộ bộ nhớ cache / cookie, để xem liệu tôi có thể khôi phục hành vi kỳ lạ ban đầu không, nhưng nó không hoạt động.

Tôi có một số loại tên miền sôi nổi đang diễn ra? Những gì khác tôi có thể cố gắng để chẩn đoán điều này?

Tôi có thể xác nhận rằng tôi thấy vấn đề giống hệt với Safari 7.0.2 (9537.74.9), với tất cả các bản cập nhật Mac OS X Mavericks hiện tại đã được cài đặt. (Hàng ngàn gói yêu cầu mỗi giây với cùng loại nội dung như được mô tả ở trên.)

Tuy nhiên, mặc dù điều này có thể hoặc không thể giúp người đăng ban đầu, tôi đã thấy rằng sự cố này chỉ xảy ra nếu máy chủ Windows có Xác thực Windows tích hợp (còn được gọi là Xác thực NTLM) và bật Xác thực đàm phán.

Sau đó, máy chủ sẽ gửi hai tiêu đề này:

WWW-Authenticate: Negotiate
WWW-Authenticate: NTLM

Safari sẽ trả lời:

Authorization: Negotiate YEgGBisGAQUFAqA+MDygDjAMBgorBgEEAYI3AgIKoioEKE5UTE1TU1AAAQAAAAUCiGIAAAAAGAAAAAAAAAAYAAAABgGwHQ8AAAA=

Và từ đó, vòng lặp sẽ đi.

Nhưng nếu Đàm phán xác thực không được bật trên máy chủ, sẽ chỉ có một tiêu đề WWW-xác thực:

WWW-Authenticate: NTLM

Và câu trả lời của Safari sẽ giống như:

Authorization: NTLM TlRMTVNTUAABAAAAB4IIAAAAAAAAAAAAAAAAAAAAAAA=

Điều này sẽ làm việc tốt. Về cơ bản, có vẻ như đàm phán bị hỏng trong Safari và vì máy chủ gửi Đàm phán trước, cho biết ưu tiên dành cho nó, Safari sẽ thử và nhập một vòng lặp vô hạn để ngăn nó quay trở lại NTLM.

Vì vậy, nếu quản trị viên máy chủ có thể bị thuyết phục để tắt Đàm phán trong cài đặt xác thực, vấn đề có thể được giải quyết.

Tôi có thể thêm rằng Firefox gửi tiêu đề "Ủy quyền: NTLM ..." bất kể máy chủ có cung cấp Thỏa thuận ngoài NTLM hay không. Có lẽ, đàm phán không được thực hiện trong Firefox.

Cập nhật

Safari 7.0.3 (9537,75,14) vẫn có vấn đề tương tự.

Trước đây chúng tôi đã báo cáo sự cố là lỗi tại bugreport.apple.com, nhưng lỗi đã bị đóng như là một bản sao của lỗi trước đó, nội dung mà chúng tôi không thể thấy, ngoại trừ việc nó vẫn được đánh dấu là mở.

Cập nhật 2

Tôi có thể xác nhận phát hiện của haun rằng xác thực hoạt động với Safari 7.0.4 (9537.76.4).

Cập nhật 3

Vấn đề này đã trở lại trong Safari 7.0.5 (9537.77.4)

Cập nhật 4

Vấn đề này vẫn còn hiện diện trong Safari 7.0.6 (9537.78.2), như được lưu ý bởi haun, với khối lượng cifs hoặc smb được gắn.

Safari 7.0.5 vẫn có vấn đề: xác thực bị hỏng nếu công cụ tìm chia sẻ tài nguyên mạng thông qua SMB: (hoặc CIFS :). khi tất cả các khối lượng mạng được kết nối không được kết nối, Safari sẽ tiếp tục xác thực hợp lệ.

Hồi quy:

1. có mặt trong Yosemite 10.10.1 / Safari 8.0.2
2. có mặt trong El Capitan 10.11.2 / Safari 9.0.2
3. có mặt trong Safari 10.0.1

Lỗi tương ứng của Apple 22990203 vẫn còn hoạt động. Không người phàm nào được phép nhìn thấy nó (cformsreporter.apple.com)

Xem thêm: https://discussions.apple.com/message/27727310#27727310

Chúng tôi đang gặp vấn đề tương tự. Vì vậy, tại sao chúng tôi chưa nâng cấp máy Mac của mình lên Mavericks. Dường như cố gắng đăng nhập vào Intranet mà không có thông tin xác thực tên miền (Intranet \ 'blank'). Nó nên được sử dụng tên miền \ tên người dùng. Tôi có thể hiểu điều này có thể gây bực bội nhưng có vẻ như xác thực bị thiếu trong safari.

Tôi chỉ một vài giây nó sẽ thổi bay các bản ghi.

Firefox dường như hoạt động rất tốt.

Đây có thể là một cú sút xa, nhưng nếu bạn có vé Kerberos (từ khi đăng nhập vào dịch vụ khác), Safari có thể đang cố gắng sử dụng điều đó.

Mở / Hệ thống / Thư viện / CoreService / Ticket Viewer.app để xem bạn có vé Kerberos nào không. Nếu vậy, nhấp vào vé, Xóa Danh tính và thử lại.

Ngoài ra, nếu không có gì được liệt kê, hãy thử sử dụng Thêm danh tính và xem liệu nó có hoạt động với Safari không.

Firefox và Chrome không sử dụng Kerberos, tôi không nghĩ, đó là lý do tại sao họ sẽ nhắc bạn riêng về thông tin đăng nhập.

Móc khóa là một ý tưởng tốt nhưng bạn đã không đi đủ xa.

Trong Safari nếu bạn nhìn vào Safarimenu, bạn sẽ thấy Reset Safari...Chọn mục này và một số bộ đệm sẽ bị xóa.

Bây giờ mở Safari> Preferences> Autofillvà tắt User names and passwords. Bây giờ chọn Passwordsvà xóa bất kỳ mật khẩu được liệt kê ở đó. Chọn Privacyvà nhấp vào Remove All Website Data. Chọn Extensionsvà nếu bạn có bất kỳ tiện ích mở rộng nào được cài đặt tiện ích mở rộng Off.

Bây giờ đi và thử trang web của bạn. Khi bạn đã thực hiện thử và xem Privacythử xem có bất kỳ cookie nào bị bỏ lại không và Passwordsxem Safari có lưu mật khẩu của bạn không.

Điều này có thể giúp bạn đến gần hơn với một giải pháp. Hãy cho chúng tôi làm thế nào nó đi sau đó. Nếu Chrome hoạt động, tôi rất muốn biết chính xác những gì nó hoạt động. Có thể cần thêm một chút rình mò?

Chỉ để cười khúc khích hãy thử URL http://username:password@intranet.example.com/(thay thế bit rõ ràng) và xem điều gì xảy ra.

Tôi đã có một vấn đề tương tự tại văn phòng của tôi là tốt. Điều quan trọng là đảm bảo rằng việc tra cứu DNS của tôi đã loại trừ các trang web cục bộ (công ty / mạng nội bộ) ra ngoài để tìm địa chỉ DNS. Đó là nguyên nhân khiến hệ thống của tôi muốn đi ra proxy và nhận được màn hình đăng nhập liên tục. Điều đang xảy ra là yêu cầu của tôi về url của intranet.company.com đã được máy chủ proxy lấy và gửi ra web. Máy chủ web chính sẽ thấy rằng tôi đang kết nối thông qua IP của công ty và phản hồi tìm kiếm thông tin đăng nhập đã bị xóa bởi proxy ... Tôi nghĩ vậy.

Về cơ bản đảm bảo rằng trang web mạng nội bộ không được gửi đến proxy đã giải quyết vấn đề của tôi. Điều đó cộng với việc biến Chrome thành trình duyệt mặc định của tôi ...

Sử dụng các Viewer.app vé , /System/Library/CoreServices/Ticket Viewer.appvà thêm một vé mới.

Trong vé mới, sử dụng tên người dùng và mật khẩu để xác thực url mạng nội bộ.

1. Tạo người dùng mới trên Mac.
2. Chuyển sang người dùng mới này. Bạn có thể làm điều này trong khi giữ cho phiên hiện tại của bạn mở.
3. Khởi chạy Safari. Đây là một Safari nguyên chất.
4. Cố gắng kết nối với trang web. Thông thường, bạn sẽ nhận được hộp thoại xác thực.

Điều này có thể có hoặc không có ích nhưng tôi đã thấy rằng nếu tôi kết nối với một chia sẻ smb khác với chính mình, tôi sẽ mất Cửa sổ xác thực trong Safari 7.0.3 chạy OS 10.9.2

Chính tôi như trong thư mục đăng nhập và mật khẩu hoạt động của tôi. Tôi bị ràng buộc với một máy chủ thư mục hoạt động.

Tôi đã không thử nghiệm điều này trên một máy không ràng buộc. Tôi cũng đã thử nghiệm Chrome và FireFox và các ứng dụng này không gặp vấn đề gì. Aurora không còn hoạt động nữa.

Chỉnh sửa bởi người dùng khác:

Điều này dường như là nguyên nhân của vấn đề. Điều này hiện đã được thử nghiệm với một máy không ràng buộc chạy Mavericks và hiện đang chạy Yosemite. Sau khi tôi kết nối với cổ phiếu SMB, Safari sẽ không còn hiển thị hộp thoại xác thực. Trong Mavericks, ngay khi tôi ngắt kết nối với cổ phiếu SMB, hộp thoại được hiển thị và tôi có thể đăng nhập vào trang web mạng nội bộ Sharepoint 2013 của công ty tôi. Tôi không có vấn đề gì trên Sharepoint 2007 hoặc các trang mạng nội bộ khác.

Trong Yosemite, dường như tôi có thể kết nối tối đa hai cổ phiếu SMB và Safari vẫn sẽ hoạt động. Nếu tôi được kết nối với ba cổ phiếu SMB trở lên, vấn đề sẽ xuất hiện. Tôi không chắc chắn nếu đó là số lượng cổ phiếu hoặc nếu có lẽ các cổ phiếu khác nhau có quyền khác nhau có thể ảnh hưởng đến tình hình. Tôi cần phải làm một số thử nghiệm nghiêm ngặt hơn trên mặt trận đó.