关于Kerberos AP_ERR_MODIFIED问题的研究

Kerberos AP_ERR_MODIFIED 的相关解释：

当我们的应用服务器无法解密客户端发过来的service ticket 的时候，会提示该错误。

Kerberos client receives KRB_AP_ERR_MODIFIED error - Windows Server | Microsoft Docs

 Kerberos 验证的过程中，客户端会首先联系DC 验证自己的身份，验证通过后，DC会给客户端发送TGT ，用于service  ticket 的申请过程。

客户端拿到TGT 后，会提供需要访问的服务名称（SPN），DC会查询SPN 是否存在，注册在哪个账号上。然后使用对应账号的密码进行加密生成service ticket 并发送给客户端。

客户端拿到service  ticket后会将其发给应用服务器，应用服务器会通过自己的密码解密，验证成功后，再给客户端进行授权访问。

Kerberos AP_ERR_MODIFIED的错误就发生在应用服务器解密service ticket 的过程。也就是Kerberos服务器端没法解密Kerberos客户端发来的Kerberos ticket。除了SPN注册有误这个可能的原因外，还有可能是以下问题造成：

1、dc 复制问题

服务账号的密码dc 间不同步，如我们申请service ticket 的时候联系了错误的DC，解密service ticket就会失败。

2、两端使用的解密算法不同，导致票据无法解密

3、spn 注册错误

Spn 如注册在其他账号上，service ticket会使用注册的账号的密码进行加密，我们发给应用服务器时，也会因为密码不一致解密失败。

4、dns 解析问题

如我们存在dns 解析问题，我们会把service ticket发给错误的IP地址，这个时候也会出现AP_ERR_MODIFIED的错误。