请耐心等待，我知道这很草率，但这是背后的故事：

我们有一个使用 Jira 的合作伙伴，并且正在使用带有自定义身份验证后端的 spnego，该后端需要令牌中的某些组成员身份。假设提供的令牌满足要求，则授予用户对 Jira 的 SSO 访问权限。

我们与该合作伙伴有来自我们的一个子域的双向非传递外部信任。由于这是一种陈旧而顽固的外部信任，而不是选择性的森林信任，因此 AD 不会维护 Kerberos 所需的信息，以用于域之间的交互式登录以外的任何事情。

他们这边为这项服务注册了一个 SPN，但是我这边的客户找不到这个 SPN，因为 Kerberos 推荐是不可能的。这显然是一个问题，因为它会导致客户端回退到 NTLM 而他们不进行 SSO。

建议的解决方法是在我们这边也创建一个服务帐户，并在我们这边为与他们相同的服务注册一个 SPN。每一侧的密码必须相同。这将不需要通过推荐来找到合适的 SPN，因为我们有效地在我们这边镜像它，并“欺骗”我们孩子的客户使用它，而不是他们那边的正确客户。他们还建议我们将这些镜像帐户的加密算法降低到 RC4 而不是 AES。

这是我的知识开始动摇的地方，我不知道为什么需要将加密算法降低到 RC4 的步骤。我也不知道它可能对安全造成什么影响。

这意味着什么？为什么我们不能坚持使用 AES 来完成这项工作？