WWW-Authenticate не работает с Kerberos (только NTLM)

Question

У меня проблема с настройкой единого входа для веб-сайтов интрасети. В настоящее время я работаю с Tomcat 8.0 и Waffle 1.8.4 . Они прекрасно работают, но есть только одна проблема: браузеры (Firefox и IE после применения настроек, как описано здесь и здесь ) не могут выполнять аутентификацию Kerberos, только NTLM.

Я проанализировал трафик с помощью Wireshark, Tomcat отправляет поле заголовка http «WWW-Authenticate», и браузер отвечает на строку в кодировке base64 в поле заголовка «Аутентификация», которая содержит NTLMSSP. Я предполагаю, что это не Kerberos, или это?

Я прочитал пост ( WWW-Authenticate использует NTLM, а не Kerberos ), что для работы Kerberos необходимо зарегистрировать сервер в AD с помощью команды setspn.exe. Я пытаюсь получить правильный синтаксис для setspn ( здесь описано ), но безуспешно. Сервер имеет следующие параметры:

• IP: 10.0.0.1

• Сервис: Tomcat-Http

• Порт: 8080

• Имя учетной записи: company-net \ foobar

Я использую эту команду для setspn:

setspn -A "HTTP/10.0.0.1:8080 company-net\foobar"

но не работает. Сервер и клиент находятся в одном домене Windows с использованием Windows 10.

Что с ним не так?

Мне нужно что-нибудь еще?

Answer 1

Kerberos использует DNS (действительные имена хостов) и SPN для работы.Похоже, вы провели небольшое исследование, и это хорошо.Что не так хорошо известно, так это то, что когда вы указываете отлично работающему клиенту Kerberos с другой стороны на IP-адрес хоста, а не на его DNS-имя хоста, Kerberos будет обойден, и вместо него будет использоваться резервный механизм аутентификации - в этом NTLMдело.

Майкл-О, ведущий участник Kerberos на этом форуме, сказал это лучше всего, ответив об этом в 2012 году :

Kerberos не работает сIP-адреса, он опирается только на доменные имена и правильные записи DNS.