發送 NTLM 令牌而不是 Kerberos 票證

我正在嘗試在 tomcat 伺服器上使用 spnego 在我們的網路中實現 kerberos SSO。

我們在域上創建了一個帳戶 (TCNKRBGINA) 用於預身份驗證，並將其設置到 http 伺服器：

Setspn -A HTTPS/testtech.etat-ge.ch TCNKRBGINA
Setspn -A HTTP/testtech.etat-ge.ch TCNKRBGINA

但是客戶端（IE 或 Firefox）發送 NTLM 令牌而不是 kerberos 票證。

問題似乎不在伺服器端，因為當沒有發送 Authorization 標頭時，它會正確返回帶有WWW-Authenticate: Negotiate標頭的 401 狀態程式碼。在伺服器有機會聯繫域控制器之前，客戶端發送的下一個請求包含 NTLM 令牌。

明白了，感謝wireshark。伺服器名稱 testtech.etat-ge.ch 在 DNS 中定義為 bleutest.ceti.etat-ge.ch 的別名。似乎kerberos使用的名稱是通過反向查找獲得的。

引用自：https://serverfault.com/questions/259548