NTLM-токен отправлен вместо билета Kerberos

Question

NTLM-токен отправлен вместо билета Kerberos

Я пытаюсь внедрить единый вход Kerberos в нашу сеть, используя spnego на сервере Tomcat.

Мы создали учетную запись (TCNKRBGINA) в домене для предварительной аутентификации и установили ее на http-сервере:

Setspn -A HTTPS/testtech.etat-ge.ch TCNKRBGINA
Setspn -A HTTP/testtech.etat-ge.ch TCNKRBGINA

Но клиент (IE или Firefox) отправляет токен NTLM вместо билета Kerberos.

Кажется, что проблема не на стороне сервера, потому что, когда заголовок авторизации не отправляется, он правильно возвращает код состояния 401 с WWW-Authenticate: Negotiate заголовок. Следующий запрос, отправленный клиентом, содержит маркер NTLM до того, как сервер сможет связаться с контроллером домена.

2

windows-server-2008 kerberos spnego

Источник

Maurice Perry 14 апр '11 в 08:30

1 ответ

Решение

Другие вопросы по тегам windows-server-2008 kerberos spnego

Maurice Perry 18 апр '11 в 09:04 2011-04-18 09:04 · Accepted Answer · 2011-04-18 09:04

Понял, благодаря Wireshark. Имя сервера testtech.etat-ge.ch было определено в DNS как псевдоним для bleutest.ceti.etat-ge.ch. Кажется, что имя, используемое Kerberos, получено путем обратного просмотра.

5

Источник

Maurice Perry 18 апр '11 в 09:04