Windows-Server-2008

發送 NTLM 令牌而不是 Kerberos 票證

  • March 26, 2017

我正在嘗試在 tomcat 伺服器上使用 spnego 在我們的網路中實現 kerberos SSO。

我們在域上創建了一個帳戶 (TCNKRBGINA) 用於預身份驗證,並將其設置到 http 伺服器:

Setspn -A HTTPS/testtech.etat-ge.ch TCNKRBGINA
Setspn -A HTTP/testtech.etat-ge.ch TCNKRBGINA

但是客戶端(IE 或 Firefox)發送 NTLM 令牌而不是 kerberos 票證。

問題似乎不在伺服器端,因為當沒有發送 Authorization 標頭時,它會正確返回帶有WWW-Authenticate: Negotiate標頭的 401 狀態程式碼。在伺服器有機會聯繫域控制器之前,客戶端發送的下一個請求包含 NTLM 令牌。

明白了,感謝wireshark。伺服器名稱 testtech.etat-ge.ch 在 DNS 中定義為 bleutest.ceti.etat-ge.ch 的別名。似乎kerberos使用的名稱是通過反向查找獲得的。

引用自:https://serverfault.com/questions/259548