問題タブ [kdc]

Kerberos のセットアップでは、IE 11 を使用してアプリケーション URL にアクセスすると、Kerberos チケットが要求と共に送信されません。ただし、互換モード (互換ビューでイントラネット サイトを表示する) がオンになっている場合は、Kerberos チケットが送信され、認証は正常に機能します。IE 11 を使用しています。開発者ツールを使用する場合、ユーザー エージェント文字列を Default から Internet Explorer 10 に変更すると、それも機能します。

認証は常にクロムで正常に機能します。

更新: Wireshark のトラフィックを観察したところ、互換モードがオフの場合、サーバーがクライアントにネゴシエーションを要求していないことがわかりました。ただし、互換性がオンの場合、サーバーは 401 応答を送信してクライアントにチャレンジします。

どんな指針も高く評価されます。

SSO プロジェクトに Kerberos 認証を統合しています。奇妙なシナリオに出くわしました。

新しいユーザーを作成し、SPN をアタッチしました。この質問の手順に従い、すべてが機能しました。私が意味するすべてによって:-

1. kinit ユーザー名 - 次にパスワードを入力すると、チケットが保存されたというメッセージが表示されました。
2. kinit spn(int 形式の HTTP/FQDN) - 次にパスワードを入力すると、チェックが保存されたというメッセージが表示されました。

しばらくして、これをもう一度やり直すことにしたので、コマンドを使用しました

ユーザー名から spn を切り離します。次に、このユーザー (ユーザー名) を AD から削除しました。

次に、username1 という新しいユーザーを作成し、この質問に従って、この新しいユーザーに対して上記の手順と同じ spn を登録しました。

kinit username1 - パスワードを入力するとチケットが保存されたというメッセージが表示されましたが、kinit spn - パスワードを入力するとエラーが発生しました

別の（新しい）spnを使用すると、すべてが正常に機能することに注意してください。

問題は、Windows サーバーに特定のキャッシュがあり、このキャッシュが原因でこの spn を再度使用できないリンクがまだ存在するかどうかです。または、spn をユーザーから切り離す際に間違いを犯しましたか?

ありがとう、ニキル

Windows Server 2012 R2 の KDC で Kerberos に許可されている暗号化の種類を構成するを数回使用しましたが、現在は無効になっています。有効にする理由や方法がわかりません。助けていただければ幸いです:)

無効な構成パネル