mozilla

Compare Revisions

Integrated Authentication

Change Revisions

Revision 127081:

Revision 127081 by kohei.yoshino on

Revision 287279:

Revision 287279 by cdauth on

Title:
Integrated Authentication
Integrated Authentication
Slug:
Integrated_Authentication
Integrated_Authentication
Tags:
Necko
Necko
Content:

Revision 127081
Revision 287279
n8      This document provides an overview of Mozilla's support forn8      This document provides an overview of Mozilla's support for
> integrated authentication. This entails support for the the Simp> integrated authentication. This entails support for the the Simp
>le and Protected GSS-API Negotiation Mechanism (SPNEGO) internet >le and Protected GSS-API Negotiation Mechanism (SPNEGO) internet 
>standard (<a class="external" href="http://www.ietf.org/rfc/rfc24>standard (<a class="external" href="http://tools.ietf.org/html/rf
>78.txt"></a><a class="external" href="http://tools.ietf.org/html/>c2478" title="http://tools.ietf.org/html/rfc2478">RFC 2478</a>) t
>rfc2478" title="http://tools.ietf.org/html/rfc2478">RFC 2478</a>)>o negotiate either Kerberos, NTLM, or other authentication protoc
> to negotiate either Kerberos, NTLM, or other authentication prot>ols supported by the operating system. SPNEGO is commonly referre
>ocols supported by the operating system. SPNEGO is commonly refer>d to as the "negotiate" authentication protocol.
>red to as the "negotiate" authentication protocol. 
n19    <h3 name="Flow_Diagram">n19    <h3 id="Flow_Diagram" name="Flow_Diagram">
n26      <img alt="Image:integrated-auth.png" fileid="735" src="Filen26      <img alt="Image:integrated-auth.png" class=" internal" src=
>:en/Media_Gallery/Integrated-auth.png">>"/@api/deki/files/735/=Integrated-auth.png">
n28    <h3 name="Configuration">n28    <h3 id="Configuration" name="Configuration">
n32      By default, Mozilla rejects all SPNEGO challenges from a wen32      By default, Mozilla rejects all SPNEGO challenges from a we
>b server. This is to protect the user from the possibility of DNS>b server. This is to protect the user from the possibility of DNS
>-spoofing being used to stage a man-in-the-middle exploit (see {{>-spoofing being used to stage a man-in-the-middle exploit (see {{
> Bug("17578") }} for more info). Moreover, with Windows clients N> Bug(17578) }} for more info). Moreover, with Windows clients NTL
>TLM may be negotiated as the authentication protocol. So, it is p>M may be negotiated as the authentication protocol. So, it is par
>aramount that the browser does not freely exchange NTLM user cred>amount that the browser does not freely exchange NTLM user creden
>entials with any server that requests them. The NTLM response inc>tials with any server that requests them. The NTLM response inclu
>ludes a hash of the user's logon credentials. On older versions o>des a hash of the user's logon credentials. On older versions of 
>f Windows this hash is computed using a relatively weak algorithm>Windows this hash is computed using a relatively weak algorithm (
> (see <a class="external" href="http://ubiqx.org/cifs/SMB.html#SM>see <a class="external" href="http://ubiqx.org/cifs/SMB.html#SMB.
>B.8">Hertel</a> for more info on NTLM authentication).>8">Hertel</a> for more info on NTLM authentication).
nn43pref("network.automatic-ntlm-auth.trusted-uris", &lt;em&gt;site-l
 >ist&lt;/em&gt;);
n51      <code>network.negotiate-auth.trusted-uris</code> lists the n52      <code>network.negotiate-auth.trusted-uris</code> lists the 
>sites that are permitted to engage in SPNEGO authentication with >sites that are permitted to engage in SPNEGO authentication with 
>the browser, and <code>network.negotiate-auth.delegation-uris</co>the browser, and <code>network.negotiate-auth.delegation-uris</co
>de> lists the sites for which the browser may delegate user autho>de> lists the sites for which the browser may delegate user autho
>rization to the server.>rization to the server. <code>network.automatic-ntlm-auth.trusted
 >-uris</code> lists the trusted sites to use NTLM authentification
 >.
t54      <h2 name="Original_Document_Information">t55      <h2 id="Original_Document_Information" name="Original_Docum
 >ent_Information">

Back to History