在url中使用别名时,NTLM而不是使用Chrome版本69的Kerberos

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了在url中使用别名时,NTLM而不是使用Chrome版本69的Kerberos相关的知识,希望对你有一定的参考价值。

自更新到版本69.0.3497.81后,我们的应用程序上的kerberos身份验证不再起作用。我不掌握验证过程,但似乎chrome使用NTLM而不是Kerberos进行身份验证。

访问您的应用程序的URL使用别名。例:

https://myApplication/test

该应用程序部署在服务器上:serverA.domain.com

我认为keytab引用了serverA.domain.com。

我注意到,如果我使用域名的完整服务器名称,它的工作原理! - > https://serverA.domain.com/test

我们确认使用以前的chrome版本,它可以工作。

你们有没有遇到过上次Chrome更新的问题?有什么建议吗?

答案

这是谷歌Chrome的一个错误。从版本69.0.3497.23开始,chrome不再解析Cnames。因此,如果您在DNS中使用别名,则无法解析并直接用于否定kerberos。

chrome比得到错误“ERR_ACCESS_DENIED”。

如果SPN不正确,则故障单获取将失败。在这些情况下,Windows默认为NTLM。

更多bug聊天解释:

“异步主机解析程序目前无法解析CNAME。因此,异步解析程序的使用目前不兼容需要正确进行CNAME查找的HttpAuthHandlerNegotiate。”

Bug:https://bugs.chromium.org/p/chromium/issues/detail?id=872665

希望这能帮到别人!

另一答案

是的,我们有这样的问题,它似乎是最新版Chrome中的一个错误,请参阅https://bugs.chromium.org/p/chromium/issues/detail?id=872665

以上是关于在url中使用别名时,NTLM而不是使用Chrome版本69的Kerberos的主要内容,如果未能解决你的问题,请参考以下文章

curl:如何在 Windows 上使用 Kerberos 而不是 NTLM 身份验证?

cloudfront 重定向到源而不是别名

Asp.Net Core HTTP.SYS Windows 身份验证回退到 NTLM 而不是 Kerberos

在 Axios 中使用 NTLM 身份验证

你啥时候在流中使用接口而不是类型别名?

NET命令用不了,提示:不是内部或外部命令