token NTLM enviado em vez do ticket Kerberos

2

Estou tentando implementar o kerberos SSO em nossa rede usando o spnego em um servidor tomcat.

Criamos uma conta (TCNKRBGINA) no domínio para a pré-autenticação e a configuramos para o servidor http:

Setspn -A HTTPS/testtech.etat-ge.ch TCNKRBGINA
Setspn -A HTTP/testtech.etat-ge.ch TCNKRBGINA

Mas o cliente (IE ou Firefox) envia um token NTLM em vez de um ticket do kerberos.

O problema não parece estar no lado do servidor porque, quando nenhum cabeçalho de autorização é enviado, ele retorna corretamente um código de status 401 com um cabeçalho WWW-Authenticate: Negotiate . A próxima solicitação enviada pelo cliente contém o token NTLM, antes que o servidor tenha a chance de entrar em contato com o controlador de domínio.

    
por Maurice Perry 14.04.2011 / 10:30

1 resposta

4

Entendi, graças ao wireshark. O nome do servidor testtech.etat-ge.ch foi definido no DNS como um alias para bleutest.ceti.etat-ge.ch. Parece que o nome usado pelo kerberos é obtido por uma pesquisa inversa.

    
por 18.04.2011 / 11:04