自从更新到 69.0.3497.81 版本后,我们的应用程序上的 kerberos 身份验证不再起作用。我不掌握身份验证过程,但似乎 chrome 使用 NTLM 而不是 Kerberos 进行身份验证。
访问我们应用程序的 url 使用别名。例子:
该应用程序部署在服务器上:serverA.domain.com
我认为 keytab 引用了 serverA.domain.com。
我注意到,如果我在域中使用完整的服务器名称,它可以工作!-> https://serverA.domain.com/test
我们确认使用以前的 chrome 版本,它可以工作。
你们在上次 chrome 更新时遇到过类似的问题吗?有什么建议吗?
这是谷歌浏览器上的一个错误。从版本 69.0.3497.23 开始,chrome 不再解析 Cnames。因此,如果您在 DNS 中使用别名,它不会被解析并直接用于协商 kerberos。
chrome 出现错误“ERR_ACCESS_DENIED”。
如果 SPN 不正确,票证获取将失败。在这些情况下,Windows 默认为 NTLM。
来自错误聊天的更多解释:
“异步主机解析器当前不解析 CNAME。因此,异步解析器的使用当前与需要正确 CNAME 查找的 HttpAuthHandlerNegotiate 的需求不兼容。”
错误:https ://bugs.chromium.org/p/chromium/issues/detail?id=872665
希望这对其他人有帮助!
是的,我们有这样的问题,这似乎是最新版本 Chrome 中的一个错误,请参阅https://bugs.chromium.org/p/chromium/issues/detail?id=872665