我开发了一个 Web 服务(使用 OWIN 而不是 IIS 托管),其中我的用户必须使用其域凭据进行身份验证。目前它使用 NTLM,一切运行正常,但我想切换到 Kerberos,据我所知,我需要向 AD 添加 SPN 才能使其工作。所以我尝试了以下操作:
- 在 AD 用户和计算机 GUI 中手动将 HTTP/myserver.myDomain.local 添加到主机
- Setspn -S HTTP/myserver.myDomain.local myDomain\ServiceUser(这首先给了我一个重复的 SPN 错误,所以我从步骤 1 中删除了 SPN)
- 在其中一个 MS 文档中,我发现了 Setspn -A HTTP/myServer.myDomain.local myDomain\ServiceUser(这首先给了我一个重复的 SPN 错误,所以我从步骤 2 中删除了 SPN)
在所有情况下,当我在浏览器中尝试时,都会得到 HTTP401。我的 URL 是https://myserver.mydomain.local:9000/api/listapps
那么,谁能告诉我什么是正确的 SPN 以及原因?我试图理解 Microsoft 的文档,但我不明白在哪种情况下使用哪些参数
谢谢