NTLM вместо Kerberos с Chrome версии 69 при использовании псевдонима в URL
После обновления до версии 69.0.3497.81 аутентификация kerberos в нашем приложении больше не работает. Я не осваиваю процесс аутентификации, но кажется, что Chrome использует NTLM вместо Kerberos для аутентификации.
Для доступа к нашему приложению используйте псевдоним. Пример:
Приложение развернуто на сервере: serverA.domain.com
Я думаю, что keytab ссылается на serverA.domain.com.
Я заметил, что если я использую полное имя сервера с доменом, это работает! -> https://servera.domain.com/test
Мы подтверждаем, что с предыдущей версией Chrome все работает.
Ребята, вы встречали подобные проблемы с последним обновлением Chrome? Любое предложение?
2 ответа
Это была ошибка в Google Chrome. Начиная с версии 69.0.3497.23, chrome больше не разрешает имена Cnames. Так что, если вы используете псевдоним в своем DNS, он не разрешается и используется непосредственно для отмены Kerberos.
Chrome, чем получил ошибку "ERR_ACCESS_DENIED".
При неверном имени участника-службы получение билета не удастся. Windows по умолчанию NTLM в этих случаях.
Больше объяснений из чата:
"Асинхронный распознаватель хоста в настоящее время не разрешает CNAME. Таким образом, использование асинхронного распознавателя в настоящее время несовместимо с требованиями HttpAuthHandlerNegotiate, где требуется правильный поиск CNAME".
Ошибка: https://bugs.chromium.org/p/chromium/issues/detail?id=872665
Надеюсь, что это поможет другим!
Да, у нас есть такие проблемы, похоже, это ошибка в последней версии Chrome, см. https://bugs.chromium.org/p/chromium/issues/detail?id=872665