Kerberos委派在Chrome中不起作用 [英] Kerberos delegation doesn't work in chrome

问题描述

我有一个带有2个站点的IIS 7服务器 - site1，site2。

site1绑定端口80，site2绑定端口81。

我在site2中有一个网页，它通过 $。ajax（）向http1站点中的URL发送http获取请求。

我已将两个站点都配置为使用Kerberos：

1. 只启用windows身份验证，只选择协商：提供者中的kerberos。
   

2. 为AD中的用户/服务器配置了SPN。


ol>



我使用fiddler来监视请求标头。




1. 当我使用IE8，我发现kerberos票证是通过2-hop从site2委托给site1的，kerberos应该可以工作。

当我使用chrome时，我看到keberos票不被委派。


我尝试过设置：

  [HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Google\Chrome] 
AuthNegotiateDelegateWhitelist=*
  

...（特别是服务器名称），但它不起作用。





任何想法？


解决方案

我必须将相同的注册表值添加到此注册表项才能使所有内容正常工作：





HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Chromium





另外值得注意的是，我使用* .domain.local而不是*。




I have an IIS 7 server with 2 sites - site1, site2.

site1 binds port 80, site2 binds port 81.

I have a web page in site2 which sends an http get request via $.ajax() to a URL in site1.

I've configured both site to use kerberos:

1. Enabled only windows authentication, selected only negotiate:kerberos in providers.

2. Configured SPN for the user/server in AD.

I use fiddler to monitor the request headers.

1. When I use IE8, I see that kerberos ticket is delegated from site2 to site1 via 2-hop, the way kerberos should work.

2. When I use chrome, I see that keberos ticket is not delegated. I get an 401 error.

I tried setting:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome]
"AuthNegotiateDelegateWhitelist"="*" 

...(and specifically the server name), but it has not worked.

Any ideas?

解决方案

I had to add the same registry value to this key to make everything work:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Chromium

Also interesting to note that I'm using *.domain.local instead of just *.

这篇关于Kerberos委派在Chrome中不起作用的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！