我有一个能够通过Kerberosvalidation用户的BlueCoat ProxySG。 它被设置为“代理”,因此它需要对每个新的TCP连接进行用户authentication。 用户有单点login,当networking服务提示时,他们的PC会自动传递他们的Windowslogin凭据。 这个问题是,在一个有很多背景连接的网站(在这种情况下是www.bbc.com),用户在这么长时间之后会开始接收popup窗口(大部分页面和图片已经被加载)。 我相信这发生在使用本网站的每个用户。
在用户PC的数据包捕获中,Kerberos身份validation似乎在每个连接尝试(GET和CONNECT请求)上工作,因为用户通过GET / CONNECT请求正确传递服务票证。 但是突然间,我们开始向KDC申请一个新的服务票证……在这种情况下,它实际上会出现PRE_AUTH_REQUIRED错误,并且必须从KDC获得一个新的KRBTGT,然后再次尝试TGS_REQ。 这是当凭据的popup窗口似乎发生。
提前致谢!
事实certificate,这个问题根本不在Kerberos中。 有两个身份validation领域设置 – 1个IWA Direct和1个IWA BCAAA。 BCAAA领域没有Kerberosauthentication。 在连接到bbc.com时,用户使用Kerberos领域进行身份validation。 由于authentication过程被设置为代理,所以每个新的连接尝试都需要authentication。 但是,BBC网站(可能是某个广告网站)上的后台url却遇到了Kerberos身份validation策略规则之前列出的另一个身份validation策略规则。 它被设置为代理IP(使用IP代理每15分钟授权),只有NTLM和基本身份validation可用。 因此,当其他站点会话被Kerberos领域授权时,它将呈现一个授权popup窗口。