keytab文件仅替换密码身份验证.密码在文件中编码,这些字节用于KDC的身份验证质询.服务帐户上的任何密码更改都将使keytab身份验证无效,并且还会增加kvno编号.

要确认服务帐户SPN可用,我经常使用服务帐户密码进行身份验证：

kinit HTTP/mysite.mycorp.com@MYCORP.COM

如果失败,要确认服务帐户未被禁用,请尝试基本身份验证：

kinit account

如果无法进行身份验证,只需删除该帐户并使用其他登录名创建一个新帐户以避免麻烦.

另一个软件很可能 – 例如另一个系统具有针对同一SPN的旧生成的密钥表 – 尝试在此服务帐户上进行身份验证并因密码无效而禁用该帐户.

设置Kerberos SSO时,过快的操作可能会导致Active Directory中出现不一致.在配置过程中遇到的一般原则是遵循以下步骤：

>删除测试和生产系统的“旧”或“失败”服务帐户
>使用kvno检查您希望配置的SPN在领域中不再存在
>使用setspn -X检查多个帐户没有冲突的SPN
>为每个系统创建一个服务帐户,专用于一个完全合格的SPN,具有全新的登录名
>阻止服务帐户更改密码和密码到期
>让我们等待一段时间进行DC同步
>生成keytab时将密码设置为ktpass选项
>使用setspn -l帐户检查FQDN SPN和别名

以下是在DC上配置服务帐户的一组命令：

ktpass -princ HTTP/mysite.mycorp.com@MYCORP.COM -mapuser mysiteAccount@MYCORP.COM
  -crypto RC4-HMAC-NT -ptype KRB5_NT_PRINCIPAL
  -pass long!$longp2ass3word -out c:\temp\http-mysite-mycorp-com.keytab
setspn -a HTTP/mysite mysiteAccount
setspn -l mysiteAccount

如果在MMC和运行ktpass之间的不同DC上执行操作太快,无法在管理命令行中生成keytab,则DC同步可能会导致意外的结果,如您所描述的结果.因此,让我们在帐户创建之间等待一段时间,然后再使用ktpass和任何其他setspn命令.

并且在Linux上运行以检查一切是否正常的命令：

kinit mysiteAccount@MYCORP.COM
kinit HTTP/mysite.mycorp.com@MYCORP.COM
kinit -k -t http-mysite-mycorp-com.keytab HTTP/mysite.mycorp.com@MYCORP.COM
kvno HTTP/mysite.mycorp.com
kvno HTTP/mysite