SPNEGO身份验证失败

Question

我为我的Apache 2.4 CentOS 7计算机设置了kerberos + OpenLDAP身份验证。 我现在正尝试使用Tomcat 7的Kerberos + OpenLDAP设置SSO。为此，我选择了SPNEGO。 我相信我可以根据需要运行所有的LDAP和Kerberos设置。

现在，当浏览到启用了SPNEGO身份验证的Web应用程序时，我得到401，这是因为我的用户代理未发送WWW-Negotation标头。 我一直在期待，因为我还没有到这一点。

我的问题是特定于登录的。在Apache 2.4中，我设置了SSO，如果没有密钥，则使用基本身份验证并可以正常工作，正如预期的那样，在提供凭据后它会授予我TGT，并且在整个会话期间都有效。

我想让Tomcat 7在失败时显示登录提示，例如我现在收到的401错误消息。

此外，我还设置了AJP。 只是为了进行测试，我想我应该在启用SSO的情况下尝试从Apache到Tomcat进行AJP。 在查看我的kerberos日志时，当我查看Web应用程序时它实际上是在进行身份验证，但仍显示401。

tldr; 如果需要，如何使Tomcat 7提示输入用户名和密码？ 有没有一种方法可以使用AJP通过AJP隧道保持从Apache到Webapp的身份验证？

以下是我的Tomcat 7日志的摘要，请让我知道还需要什么其他信息。

Apr 28, 2016 12:58:08 AM org.apache.catalina.authenticator.AuthenticatorBase invoke
FINE: Security checking request GET /helloworld/
Apr 28, 2016 12:58:08 AM org.apache.catalina.realm.RealmBase findSecurityConstraints
FINE:   Checking constraint 'SecurityConstraint[all]' against GET /index.jsp --> true
Apr 28, 2016 12:58:08 AM org.apache.catalina.realm.RealmBase findSecurityConstraints
FINE:   Checking constraint 'SecurityConstraint[all]' against GET /index.jsp --> true
Apr 28, 2016 12:58:08 AM org.apache.catalina.authenticator.AuthenticatorBase invoke
FINE:  Calling hasUserDataPermission()
Apr 28, 2016 12:58:08 AM org.apache.catalina.realm.RealmBase hasUserDataPermission
FINE:   User data constraint has no restrictions
Apr 28, 2016 12:58:08 AM org.apache.catalina.authenticator.AuthenticatorBase invoke
FINE:  Calling authenticate()
Apr 28, 2016 12:58:08 AM org.apache.catalina.authenticator.SpnegoAuthenticator authenticate
FINE: No authorization header sent by client
Apr 28, 2016 12:58:08 AM org.apache.catalina.authenticator.AuthenticatorBase invoke
FINE:  Failed authenticate() test