Я обычно понимаю проблемы, которые балансировщик нагрузки создает для Kerberos. Фактически, Microsoft Статья в базе знаний прямо заявляет, что это невозможно. Тем не мение, Эта статья - также на сайте MS - предлагает возможные обходные пути.
Кто-нибудь настраивал систему для использования Kerberos и балансировщика нагрузки? Вам нужно было использовать сервер Forefront? Вы можете описать свою установку?
Кроме того, какие именно функциональные возможности, предоставляемые сервером Forefront, обеспечивают эту работу? Насколько я понимаю, каждому серверу, стоящему за балансировщиком нагрузки, требуется другое SPN, и все, что находится перед балансировщиком нагрузки, не может знать, для какого SPN запрашивать билет.
Вы уточняли у поставщика балансировщика нагрузки? Например, F5 имеет модуль расширенной проверки подлинности клиента (ACA) для своего диспетчера локального трафика (LTM), который обеспечивает поддержку ограниченного делегирования Kerberos.
http://www.f5.com/pdf/white-papers/kerberos-constrained-delegation-pki-wp.pdf
Я настроил балансировщик нагрузки kerberos и haproxy (вроде). В основном kerberos нуждается в dns внутреннего сервера для аутентификации, что я сделал, так это то, что я создал конфигурацию haproxy с разделом прослушивания с двумя серверами на двух разных портах (81 и 82) на хосте haproxy с rr и httpchk, затем двумя интерфейсными и двумя внутренними разделами, прослушивающими эти порты с проверками и переадресацией, чтобы указать на серверный хост с полным именем хоста, необходимым для аутентификации Kerberos. Мне это нужно для HA двух серверов приложений с приложением jboss с аутентификацией Kerberos, файлы cookie не требуются, поскольку haproxy просто перенаправляет 301 на внутренний сервер, и весь трафик затем идет на сервер, который работает. Обратной стороной этого является то, что пользователь может видеть полное имя хоста внутреннего сервера, и он должен быть доступен для пользователя, поэтому лучше всего, если он используется только для внутренних вещей, не уверен, что вы можете сделать это по-другому на haproxy. Если есть другой способ сделать это, когда бэкэнд не будет виден - было бы здорово, если бы кто-нибудь поделился информацией!