在 url 中使用别名时,使用 Chrome 版本 69 的 NTLM 而不是 Kerberos

NTLM instead of Kerberos with Chrome version 69 when using alias in url

自更新到版本 69.0.3497.81 后,我们应用程序上的 kerberos 身份验证不再起作用。我不掌握身份验证过程,但似乎 chrome 使用 NTLM 而不是 Kerberos 进行身份验证。

访问 url 我们的应用程序使用别名。示例:

https://myApplication/test

应用程序部署在服务器上:serverA.domain.com

我认为密钥表引用了 serverA.domain.com。

我注意到如果我将完整的服务器名称与域一起使用,它就可以工作! -> https://serverA.domain.com/test

我们确认以前的 chrome 版本可以正常工作。

你们在上次 chrome 更新中遇到过类似的问题吗?有什么建议吗?

这是 google chrome 上的错误。从版本 69.0.3497.23 开始,chrome 不再解析 Cname。因此,如果您在 DNS 中使用别名,它不会被解析并直接用于协商 kerberos。

chrome 而不是错误 "ERR_ACCESS_DENIED".

如果 SPN 不正确,票证获取将失败。 Windows 在这些情况下默认为 NTLM。

错误聊天的更多解释:

“异步主机解析器当前不解析 CNAME。因此使用 异步解析器目前不兼容的需求 HttpAuthHandlerNegotiate 需要正确的 CNAME 查找。"

错误:https://bugs.chromium.org/p/chromium/issues/detail?id=872665

希望这对其他人有帮助!

是的,我们有这样的问题,这似乎是 Chrome 最新版本的一个错误,请参阅 https://bugs.chromium.org/p/chromium/issues/detail?id=872665