自从版本69.0.3497.81更新以来,我们应用程序上的kerberos身份验证不再起作用。我不掌握身份验证过程,但是Chrome似乎使用NTLM而不是Kerberos进行身份验证。
使用别名访问我们应用程序的URL。示例:
该应用程序已部署在服务器上:serverA.domain.com
我认为密钥表引用了serverA.domain.com。
我注意到,如果我将完整的服务器名称与domain一起使用,它将起作用! -> https://serverA.domain.com/test
我们确认在以前的chrome版本中可以使用。
你们在上次chrome更新中遇到过类似的问题吗?有什么建议吗?
答案 0 :(得分:2)
这是Google chrome上的错误。从69.0.3497.23版本开始,chrome不再解析Cnames。因此,如果您在DNS中使用别名,则无法解析该别名,而直接将其用于kerberos协商。
chrome出现错误“ ERR_ACCESS_DENIED”。
如果SPN错误,则票证获取将失败。在这种情况下,Windows默认为NTLM。
更多来自错误聊天的解释:
“异步主机解析器当前无法解析CNAME。因此,使用 异步解析器当前与以下需求不兼容 HttpAuthHandlerNegotiate,其中需要正确的CNAME查找。”
错误:https://bugs.chromium.org/p/chromium/issues/detail?id=872665
希望这对其他人有帮助!
答案 1 :(得分:-1)
是的,我们遇到类似的问题,这似乎是最新版本的Chrome中的错误,请参阅https://bugs.chromium.org/p/chromium/issues/detail?id=872665