【发布时间】:2018-11-13 15:14:00
【问题描述】:
我在为 Intranet 网站设置 SSO 时遇到问题。目前我正在使用 Tomcat 8.0 和Waffle 1.8.4。它们工作得很好,但只有一个问题:浏览器(如here 和here 所述应用设置后的 Firefox 和 IE)无法进行 Kerberos 身份验证,只能进行 NTLM。
我使用 Wireshark 分析了流量,Tomcat 发送 http 标头字段“WWW-Authenticate”,浏览器在标头字段“Authentication”中回答包含 NTLMSSP 的 base64 编码字符串。我猜这不是 Kerberos,还是它?
我读过一篇帖子 (WWW-Authenticate uses NTLM and not Kerberos),为了让 Kerberos 工作,必须使用命令 setspn.exe 在 AD 中注册服务器。 我尝试为 setspn (described here) 获得正确的语法,但没有任何运气。 服务器有以下参数:
IP:10.0.0.1
服务:Tomcat-Http
端口:8080
账户名:company-net\foobar
我将这个命令用于setspn:
setspn -A "HTTP/10.0.0.1:8080 company-net\foobar"
但不起作用。服务器和客户端都在同一个 Windows 域中,使用 Windows 10。
这有什么问题?
我还需要什么吗?
【问题讨论】:
标签: single-sign-on kerberos ntlm