要复杂得多。
TL; DR 您的第二个TGT似乎与跨域身份验证有关，请参见下面的粗体字。

klist显示默认系统缓存中存在的票证：

• 如果没有这样的缓存可查询（即FILE缓存不存在，KEYRING内核服务未启动，等等）
• 可能有1张TGT（门票授予票证）可以在您自己的领域中证明您的身份
• 可能有N张服务票证断言您有权与服务器Z上的服务X联系（可能属于另一个领域，请参见下文）
• 在跨域身份验证的情况下，一些中间票证使您可以将域A.R中的TGT转换为域R中的TGT，从而可以在域B.R 中获得服务票证（这将是与Active Directory一起使用的默认分层路径，但是自定义路径可以在/etc/krb5.conf中的[capath]下定义，或者像这样，具体取决于领域之间定义的信任）

但是请注意，并非所有服务票证都存储在缓存中-应用程序从缓存中获取TGT，获取服务票证并将其私有化是合法的。这就是Java的作用。

一个应用程序（或一组应用程序）使用私有缓存是合法的，请参见。 env变量KRB5CCNAME（当您有多个服务在同一个Linux帐户下运行并且不想混淆其SPN时非常有用），因此除非您点击此按钮，否则您将无法看到klist的票证自定义缓存。

应用程序完全不使用缓存，并在内存中保留所有票证是合法的。这就是Java在提供自定义JAAS配置时所要做的，该配置要求使用Principal / keytab进行身份验证。