Falha Kerberos IE em algumas máquinas com servidor web CNAME (com SPN para o registro A do host)

Navegue suas respostas
1

É bem sabido que o IE não gosta de fazer Kerberos em hosts registrados no DNS como CNAMEs. O que acontece é que o IE gira em torno e usa o registro A subjacente para o host para procurar o nome principal do serviço (SPN).

Em uma rede de teste, conseguimos que o Kerberos funcione com o registro do SPN para o registro A do host, para que a autenticação Kerberos aconteça com êxito ao acessar o servidor da Web por meio do CNAME no navegador. A autenticação Kerberos funciona corretamente ao acessar diretamente o servidor da Web com o host de registro A na URL, mas, por diversos motivos que estão além do meu controle, é desejado usar o CNAME.

Na rede de produção, essa mesma configuração falha e não consigo entender por quê. Alguma ideia?

Este é um aplicativo da Web java usando a biblioteca SPNEGO - não o IIS. Autenticação Kerberos está funcionando corretamente nas redes de teste e produção (e foi confirmado para não fail back to NTLM), mas o acesso CNAME só funciona no teste.

    
por Eric Thames 23.02.2011 / 07:14

1 resposta

2

Parece que uma diferença fundamental é que, no ambiente de teste, o CNAME é registrado no mesmo domínio que o registro A (por exemplo, host.example.com é o registro A e alias.exemplo.com é o CNAME).

No ambiente de produção, o CNAME é para um domínio que usado é usado, mas não é mais o domínio preferido, que é onde o registro A está (por exemplo, prodhost.example.com é o registro A e prodalias.example.net é o CNAME).

Supostamente, a zona DNS example.net (junto com a zona DNS example.com) está vinculada ao domínio example.com no Active Directory, mas ainda não conseguimos confirmar essa configuração. Certamente o Internet Explorer não parece acreditar que eles estejam relacionados, e é por isso que ele nem está tentando fazer a autenticação Kerberos.

Alguém tem ponteiros / pensamentos sobre isso?

    
por 03.03.2011 / 05:05

Tags

Configuração simples do DNS Ferramentas para recuperar e modificar atributos de vários valores no Microsoft ActiveDirectory