我们正在尝试使用 Kerberos 身份验证构建一个 Spring Web 应用程序。我们的开发机器是公司 AD 域的一部分。我们在 VM 中有一个本地 KDC 来测试 kerberos,但不信任 AD。除了来自 AD 的票证之外,网络身份管理器还能够从该领域获得票证。
从浏览器进行测试时,似乎来自域登录的票证被发送到服务器,而不是测试领域的票证,由于未知的客户端主体而失败并回退到 NTLM。
将运行 tomcat 服务器和测试 KDC 的主机添加到受信任站点,并为受信任站点启用自动身份验证。将其添加到本地 Intranet 也没有什么不同。
是否可以从任何浏览器发送通过“网络身份管理器”获得的领域的适当票证,而不是当前登录的 AD 用户票证?