Windows-Server-2008
發送 NTLM 令牌而不是 Kerberos 票證
我正在嘗試在 tomcat 伺服器上使用 spnego 在我們的網路中實現 kerberos SSO。
我們在域上創建了一個帳戶 (TCNKRBGINA) 用於預身份驗證,並將其設置到 http 伺服器:
Setspn -A HTTPS/testtech.etat-ge.ch TCNKRBGINA Setspn -A HTTP/testtech.etat-ge.ch TCNKRBGINA
但是客戶端(IE 或 Firefox)發送 NTLM 令牌而不是 kerberos 票證。
問題似乎不在伺服器端,因為當沒有發送 Authorization 標頭時,它會正確返回帶有
WWW-Authenticate: Negotiate
標頭的 401 狀態程式碼。在伺服器有機會聯繫域控制器之前,客戶端發送的下一個請求包含 NTLM 令牌。
明白了,感謝wireshark。伺服器名稱 testtech.etat-ge.ch 在 DNS 中定義為 bleutest.ceti.etat-ge.ch 的別名。似乎kerberos使用的名稱是通過反向查找獲得的。