IE发送NTLM令牌而不是Kerberos [英] IE sending NTLM token instead of Kerberos

问题描述

根据Microsoft文档，如果您正确注册服务主体名称并且您的计算机已登录到域，那么当使用IE（6或更高版本）启用集成Windows身份验证框并且您正在访问的站点已经部分$时b $ b的Intranet区域，选择了自动登录设置，浏览器应该能够将Kerberos令牌发送到Web服务器。我们正在使用Apache tomcat web服务器，但是当服务器请求使用WWW-Authenticate头进行协商时，显然，
浏览器总是只发送NTLM令牌（我可以看到令牌以TlRMTVNT开头）

According to Microsoft documentation, if you register service principal name correctly and your machine is logged onto domain, then when using IE (6 or later) with Integrated Windows Authentication box enabled and the site you are visiting already part of intranet zone, with automatically log-on setting selected, the browser should be able to send Kerberos token to the web server. We are using Apache tomcat web server, but when the server requests with WWW-Authenticate header to negotiate, apparently, the browser is always sending NTLM token only (i can see token starts with TlRMTVNT)

推荐答案

根据您列出的SPN，服务器配置似乎没问题。我唯一能看到你没有涵盖服务器配置的是什么身份是应用程序
池运行？只要应用程序池以 网络服务
运行， SPN很好。如果您为应用程序池配置了自定义标识，则应从计算机帐户中删除HTTP SPN并将其放在自定义帐户上。

还有IE配置发挥作用。最终，IE决定将发回的
WWW-Authenticate 标题。 
验证Internet Explorer已配置为响应协商质询并执行Kerberos身份验证：

There are also IE configurations that come into play. Ultimately, IE makes the decision what WWW-Authenticate header it will send back.  Verify Internet Explorer is configured to respond to a negotiate challenge and perform Kerberos authentication:

1.     
In
Internet Explorer ，点击
工具上的互联网选项菜单。

1.     In Internet Explorer, click Internet Options on the Tools menu.

< span style ="color：black; font-family：" Verdana"，" sans-serif" ;; font-size：7.5pt"> 2.     
点击
高级标签，点击以选中
中的启用集成Windows身份验证（需要重新启动）复选框安全部分，然后点击确定。

2.     Click the Advanced tab, click to select the Enable Integrated Windows Authentication (requires restart) check box in the Security section, and then click OK.

3.     
重新启动Internet Explorer。

管理员可以通过设置
EnableNegotiate来启用集成Windows身份验证以下注册表项中的 1 的DWORD值：
HKEY_CURRENT_USER \Software \ Microsoft \ Windows \ CurrentVersion \Internet Settings

Administrators can enable Integrated Windows Authentication by setting the EnableNegotiate DWORD value to 1 in the following registry key: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings

此外，Kerberos仅适用于已加入域的计算机。 
这听起来好像机器加入了域名，所以这只是一个提醒。

Also, Kerberos only works for domain joined machines.  It sounded like the machine was joined to the domain, so this was just a reminder.

这篇关于IE发送NTLM令牌而不是Kerberos的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！