我正在尝试在我们的networking中使用tomcat服务器上的spnego实现Kerberos SSO。
我们在预authentication的域上创build了一个帐户(TCNKRBGINA),并将其设置为http服务器:
Setspn -A HTTPS/testtech.etat-ge.ch TCNKRBGINA Setspn -A HTTP/testtech.etat-ge.ch TCNKRBGINA 但客户端(IE或Firefox)发送NTLM令牌而不是Kerberos票据。
问题似乎没有在服务器端,因为当没有授权标头发送时,它正确地返回与WWW-Authenticate: Negotiate标头的401状态代码。 在服务器有机会联系域控制器之前,客户端发送的下一个请求包含NTLM令牌。
知道了,谢谢wireshark。 服务器名称testtech.etat-ge.ch在DNS中定义为bleutest.ceti.etat-ge.ch的别名。 似乎kerberos使用的名字是通过反向查找获得的。