自更新到版本69.0.3497.81后,我们的应用程序上的kerberos身份验证不再起作用。我不掌握验证过程,但似乎chrome使用NTLM而不是Kerberos进行身份验证。
访问您的应用程序的URL使用别名。例:
该应用程序部署在服务器上:serverA.domain.com
我认为keytab引用了serverA.domain.com。
我注意到,如果我使用域名的完整服务器名称,它的工作原理! - > https://serverA.domain.com/test
我们确认使用以前的chrome版本,它可以工作。
你们有没有遇到过上次Chrome更新的问题?有什么建议吗?
这是谷歌Chrome的一个错误。从版本69.0.3497.23开始,chrome不再解析Cnames。因此,如果您在DNS中使用别名,则无法解析并直接用于否定kerberos。
chrome比得到错误“ERR_ACCESS_DENIED”。
如果SPN不正确,则故障单获取将失败。在这些情况下,Windows默认为NTLM。
更多bug聊天解释:
“异步主机解析程序目前无法解析CNAME。因此,异步解析程序的使用目前不兼容需要正确进行CNAME查找的HttpAuthHandlerNegotiate。”
Bug:https://bugs.chromium.org/p/chromium/issues/detail?id=872665
希望这能帮到别人!
是的,我们有这样的问题,它似乎是最新版Chrome中的一个错误,请参阅https://bugs.chromium.org/p/chromium/issues/detail?id=872665