无法禁用Kerberos单点登录(SSO)

Question

我一直在探索Kerberos单点登录(SSO)，以取代Windows域内部托管的Web应用程序的NTLM。

在为测试服务(setspn -s)创建服务主体名称(Service主体名称)之后，我可以清楚地看到--使用Fiddler或WireShark --身份验证已经从NTLM切换到Kerberos。

有一个谨慎的基础设施团队，我想要证明，更改可以快速而容易地退出。我不希望通过Web Server配置强制NTLM。相应地，删除SPN (setspn -d)并确认其删除(setspn -q)。

我运行以下命令以删除客户端上的所有服务票证：

C:\>klist purge

Current LogonId is 0:0x521ac
        Deleting all tickets:
        Ticket(s) purged!

C:\>

当与Web应用程序进行进一步交互时，将创建另一个服务票证，并且Kerberos仍然是SSO身份验证机制。对于以前没有使用该服务的用户来说，这是正确的。甚至第二天的情况也是如此，因为所有的交互都在一夜之间闲置(12-14个小时)。

尽管我做了多次搜索，以找到对观察到的持久性的解释，但我还是空手而归。不过，我想我在这篇文章中找到了一条线索：如果用户名已更改，LsaLookupSids函数可能返回旧用户名而不是新用户名.：

本地安全当局(LSA)在域成员计算机上的本地缓存中缓存SID和用户名之间的映射。缓存的用户名与域控制器不同步。域成员计算机上的LSA首先查询本地SID缓存。如果现有映射已经在本地SID缓存中，LSA将返回缓存的用户名信息，而不是查询域控制器。此行为旨在提高性能。缓存条目会超时，但是应用程序重复的查询很可能会使现有缓存条目在缓存条目的最大生存期内保持活动状态。

是否有人能确认密钥分发中心(KDC)是否以类似的方式缓存SPN条目(或提供替代解释)？如果是的话，缓存条目的最大生存期是多少？

Answer 1

我发现了问题。服务的DNS记录不是"A“记录，而是实际上"CNAME”记录。这意味着浏览器正在为服务帐户创建密钥。这与站点/服务器上的"useAppPoolCredentials“设置有关，该设置被设置为"False”(默认值)。我正在更改的SPN没有参与正在进行的Kerberos身份验证。