當使用 Apache HTTPD 和 mod_auth_kerb 與 AD 通訊時，如何避免頻繁的 KVNO 增加？

我已經使用mod_auth_kerb 設定了Apache HTTPD 2.4，在Active Directory 上建立了一個服務帳戶，為我的http 主機名稱新增了SPN，在Linux 電腦上建立了一個keytab 文件，並且讓SSO 開始為從IE 登入AD網域的使用者正常工作。一切都很好！

然而，大約每週，使用者不會登入網站，而是收到 http 基本驗證提示，該提示不會接受他們的憑證。查看 httpd 伺服器日誌，我們看到以下條目：

[auth_kerb:error] [pid 8040] [client 192.168.100.100:54460] gss_accept_sec_context() failed: Unspecified GSS failure.  Minor code may provide more information (, Key version number for principal in key table is incorrect)

似乎發生的事情是 AD 上的 KVNO（Kerberos 金鑰版本號）已增加，因此它們的金鑰表無效。我們可以透過執行以下操作來看到這一點：

$ kinit '[email protected]'
Password for [email protected]

$ kvno HTTP/sso.example.com
HTTP/[email protected]: kvno = 12

$ klist -k krb5-keytab 
Keytab name: FILE:krb5-keytab
KVNO Principal
---- ---------------------------------------------
11   HTTP/[email protected]

AD 報告的 KVNO 已以某種方式增加，並且比 Apache 使用的金鑰表中的 KVNO 高 1，這導致 Kerberos SSO 失敗

如果我們重新建立密鑰表，如下所示：

$ kinit '[email protected]'
Password for [email protected]

$ KEYTAB=krb5-keytab
$ SN="HTTP/[email protected]"
$ KVNO=`kvno $SN | awk -F'kvno = ' '{print $2}'`
$ echo "KVNO for $SN is $KVNO"
KVNO for HTTP/[email protected] is 12

$ rm $KEYTAB
$ ktutil
addent -password -p HTTP/[email protected] -k 12 -e arcfour-hmac
wkt krb5-keytab
$ chown apache.apache $KEYTAB
$ chmod 440 $KEYTAB
$ chcon -u system_u -t httpd_config_t $KEYTAB
$ service httpd restart

然後 Kerberos SSO 將再次開始工作，一切都會好起來的！大約一周左右，突然它會再次失敗，因為 KVNO 默默地、神秘地將自己的 AD 值提高了一個值...

那麼，我需要做什麼，無論是在 AD 上還是在 Linux 上創建 kerberos keytab 文件，這樣 KVNO 就不會每 1-2 週隨機增加一次，從而破壞我們所有用戶訪問該站點的能力？