Active Directory mit Proxy unter Debian

    Hallo zusammen,

    nach einigen Recherchen und Versuchen bin ich genauso ratlos wie vorher:

    Auf Windows-Computern kann ich mit Firefox 38.5.0 wie folgt ins Internet gehen:
    Ich melde mich an einem Computer an, wobei die Zugangsdaten auf dem Windows Active Directory überprüft werden. Firefox verwendet die Proxy-Einstellungen des Systems und kann Webseiten abrufen.

    Unter Debian läuft das ähnlich:
    Auch hier werden die Zugangsdaten auf dem AD überprüft. Wenn ich aber den Debian-Firefox 38.5.0 (Iceweasel=ohne Logos) mit den Proxyeinstellungen des Systems starte, so muss ich die Zugangsdaten erneut eingeben, bevor ich Zugriff auf das Internet bekomme.
    Diese zusätzliche Abfrage der Zugangsdaten wäre ich gerne los. Ein Speichern geht nicht, weil die lokalen Benutzerverzeichnisse nach der Abmeldung gelöscht werden und es wirklich viele Benutzer sind.

    Normalerweise würde ich das Problem bei Kerberos suchen und nicht beim Firefox. Allerdings kann ich mir mit klist erfolgreich die Kerberos Tickets anzeigen lassen, und auch das Verbinden mit den Netzwerkshares des Domaincontrollers klappt unter Verwendung von Kerberos.

    An verschiedenen Stellen wird geschrieben, man soll unter about:config die Werte für network.negotiate-auth.trusted-uris und network.negotiate-auth.delegation-uris setzen, doch egal, was ich eintrage: Es mag nicht funktionieren.

    Hat jemand eine Idee, woran es liegt und wie man das Problem behebt?

    Danke!

    Auch Firefox 38.5 ist aktuell, das ist eine Versionsnummer, die eindeutig dem ESR-Zweig zugeordnet werden kann (Änderung der Versionsnummer an zweiter Stelle). Die aktuellste Version hier mag 38.5.2 sein, allerdings erfüllen die beiden weiteren Updates nur für Windows einen Zweck (heute eingetretene SHA-1-Deprecation von Windows) und der Themenersteller verwendet Linux.

    Hier die Details meines letzten Versuchs. Als Grundlage habe ich die Anleitung von RedHat genommen:
    https://access.redhat.com/documentation/…ig-firefox.html

    $ klist
    Ticket cache: FILE:/tmp/krb5cc_11000
    Default principal: user@WORK.COMPANY

    Valid starting Expires Service principal
    03.01.2016 15:57:41 04.01.2016 01:57:26 krbtgt/WORK.COMPANY@WORK.COMPANY
    renew until 10.01.2016 15:57:41
    03.01.2016 15:57:41 04.01.2016 01:57:26 DEBIAN-HOST@WORK.COMPANY
    renew until 10.01.2016 15:57:41
    03.01.2016 15:57:41 04.01.2016 01:57:26 ldap/companydc.work.company@WORK.COMPANY
    renew until 10.01.2016 15:57:41
    03.01.2016 15:57:43 04.01.2016 01:57:26 cifs/companydc@WORK.COMPANY
    renew until 10.01.2016 15:57:41

    Im moz.log steht leider nur etwas von NTLM, nichts von Kerberos. Gehört das so?
    $ cat moz.log
    abcd[xyz]: Writing to ntlm_auth: YR
    abcd[xyz]: Writing to ntlm_auth: YR

    Ich wäre auch dankbar für einen Hinweis auf ein anderes Forum, wo diese Frage evtl. besser aufgehoben sein könnte.

    @ seniorhanseat
    Nicht immer hat die neueste Version nur Vorteile. Schau Dir mal die ESR-FAQ an:
    https://www.mozilla.org/en-US/firefox/organizations/faq/

    Hallo zusammen,
    mittlerweile bin ich ein wenig weiter, es fehlte eine Bilbliothek.
    Firefox verwendet jetzt immerhin schon negotiation (Kerberos), allerdings nur für das Webinterface des Domaincontrollers.

    Der Proxyserver möchte immer noch die Zugangsdaten von Hand eingegeben haben und die Verwendung des SingleSignOn klappt noch nicht und ich erhalte weiterhin:

    $ cat moz.log
    abcd[xyz]: Writing to ntlm_auth: YR

    Meine Firefox-Einstellungen lauten:
    network.negotiate-auth.allow-non-fqdn;true
    network.negotiate-auth.trusted-uris;companydc.WORK.company, companyproxy.WORK.company, companyproxy, companydc
    network.negotiate-auth.delegation-uris;[egal]
    signon.autologin.proxy;true

    Hat noch jemand Ideen?