NTLM вместо Kerberos с Chrome версии 69 при использовании псевдонима в URL

Question

После обновления до версии 69.0.3497.81 аутентификация kerberos в нашем приложении больше не работает. Я не осваиваю процесс аутентификации, но кажется, что Chrome использует NTLM вместо Kerberos для аутентификации.

Для доступа к нашему приложению используйте псевдоним. Пример:

https://myApplication/test

Приложение развернуто на сервере: serverA.domain.com

Я думаю, что на keytab ссылается serverA.domain.com.

Я заметил, что если я использую полное имя сервера с доменом, это работает! -> https://serverA.domain.com/test

Мы подтверждаем, что с предыдущей версией Chrome он работает.

Ребята, вы встречали подобные проблемы с последним обновлением Chrome? Любое предложение?

Answer 1

Да, у нас есть такие проблемы, похоже, это ошибка в последней версии Chrome, см. https://bugs.chromium.org/p/chromium/issues/detail?id=872665

Answer 2

Это была ошибка в Google Chrome. Начиная с версии 69.0.3497.23, chrome больше не разрешает имена Cnames. Так что, если вы используете псевдоним в своем DNS, он не разрешен и используется непосредственно для определения Kerberos.

Chrome, чем получил ошибку "ERR_ACCESS_DENIED".

При неправильном SPN получение билета завершится неудачно. В этих случаях Windows по умолчанию использует NTLM.

Больше объяснений из чата:

"Асинхронный распознаватель хоста в настоящее время не разрешает CNAME. Таким образом, использование Асинхронный распознаватель в настоящее время не совместим с потребностями HttpAuthHandlerNegotiate, где требуется правильный поиск CNAME. "

Ошибка: https://bugs.chromium.org/p/chromium/issues/detail?id=872665

Надеюсь, что это поможет другим!