Итак, я работал над приложением XMPP с поддержкой SSO в нашей сети в течение пары недель. У меня 95% ошибок исправлено, и все работает без сбоев. Проблема в том, что у меня есть пара машин, которые не подключаются, что дает мне ошибку "SSO Failed, etc etc"
Я провел анализ пакетов, и на одной машине я получаю пакет с ошибкой Kerberos KDC_ERR_ETYPE_NOSUPP что, конечно, означает, что сервер не поддерживает тип шифрования, выбранный клиентом.
Вот где это интересно.
Часть тела запроса пакета, отправленного от клиента на сервер Kerberos, показывает, что он запрашивает типы шифрования, которые наиболее точно поддерживаются Kerberos, наиболее примечательные из них. RC4-HMAC ЯВЛЯЕТСЯ по запросу клиента.
Уверен, вы можете себе представить, что я был очень смущен, когда увидел это. Поэтому я сравнил пакет запроса Kerberos с пакетом от другого клиента, который работает правильно.
Я обнаружил, что в части пакета, помеченной как padata > ap-req > authenticator который вы, вероятно, знаете: (pre-authentication > authentication protocol request > authenticator) запрошенный тип шифрования NULL !!!!
Итак, во-первых, другие мои машины используют соответствующий тип шифрования для предварительной аутентификации и работают нормально.
Я не сделал ничего, что, как я могу себе представить, могло бы повлиять на эту конфигурацию, учитывая, что я не работал над этой системой с тех пор, как (недавно) начал здесь, и я не знаю, где я мог бы искать, чтобы настроить эту конфигурацию. В некоторых других наших системах был установлен VPN, который, казалось, мешал SSO, но этот VPN был НЕ установлен в этой системе, и я удалил КАЖДЫЙ приложение помимо Microsoft Office. Я также удалил и повторно добавил его в домен, надеясь, что там произойдут некоторые изменения конфигурации.
Как я могу исправить настройку протокола предварительной проверки подлинности для этого компьютера, помимо переустановки Windows?
Спасибо!!