Entendi, graças ao wireshark. O nome do servidor testtech.etat-ge.ch foi definido no DNS como um alias para bleutest.ceti.etat-ge.ch. Parece que o nome usado pelo kerberos é obtido por uma pesquisa inversa.
Estou tentando implementar o kerberos SSO em nossa rede usando o spnego em um servidor tomcat.
Criamos uma conta (TCNKRBGINA) no domínio para a pré-autenticação e a configuramos para o servidor http:
Setspn -A HTTPS/testtech.etat-ge.ch TCNKRBGINA
Setspn -A HTTP/testtech.etat-ge.ch TCNKRBGINA
Mas o cliente (IE ou Firefox) envia um token NTLM em vez de um ticket do kerberos.
O problema não parece estar no lado do servidor porque, quando nenhum cabeçalho de autorização é enviado, ele retorna corretamente um código de status 401 com um cabeçalho WWW-Authenticate: Negotiate . A próxima solicitação enviada pelo cliente contém o token NTLM, antes que o servidor tenha a chance de entrar em contato com o controlador de domínio.