我们正在尝试使用Kerberos身份验证构建Spring Web应用程序。 我们的开发机器是企业AD域的一部分。我们在VM中有一个本地KDC来测试kerberos,但是没有对AD的信任。除了来自AD的票证之外,网络身份管理器还能够从该域获取票证。
从浏览器进行测试时,似乎来自域登录的票证被发送到服务器,而不是测试域的票证,未知客户端主体失败并退回到NTLM。
运行tomcat服务器和测试KDC的主机将添加到受信任的站点,并为受信任的站点启用自动身份验证。将其添加到本地Intranet也没有什么区别。
是否可以从任何浏览器为通过"网络身份管理器"获得的领域发送适当的票证?而不是当前登录的AD用户票?