Kerberosチケットの代わりに送信されたNTLMトークン
Tomcatサーバーでspnegoを使用して、ネットワークにKerberosSSOを実装しようとしています。
事前認証用のアカウント(TCNKRBGINA)をドメインに作成し、それをhttpサーバーに設定しました。
Setspn -A HTTPS/testtech.etat-ge.ch TCNKRBGINA
Setspn -A HTTP/testtech.etat-ge.ch TCNKRBGINA
ただし、クライアント(IEまたはFirefox)は、Kerberosチケットの代わりにNTLMトークンを送信します。
Authorizationヘッダーが送信されない場合、WWW-Authenticate: Negotiateヘッダー付きの401ステータスコードが正しく返されるため、問題はサーバー側にあるようには見えません。サーバーがドメインコントローラーに接続する前に、クライアントから送信される次の要求にはNTLMトークンが含まれています。
了解しました。wiresharkのおかげです。サーバー名testtech.etat-ge.chは、DNSでbleutest.ceti.etat-ge.chのエイリアスとして定義されています。 kerberosで使用されている名前は逆ルックアップによって取得されているようです。