У нас есть экземпляр SSRS (службы отчетов SQL Server), который использует ограниченное делегирование Kerberos для извлечения данных для своих отчетов из SQL Server от имени своих пользователей.
Для этого SSRS был настроен на использование <RSWindowsNegotiate/>
аутентификация вариант.
К сожалению, этот параметр также позволяет выполнять вход NTLM. Пользователи успешно входят в систему с помощью NTLM, а затем получают сообщение об ошибке при попытке запустить отчет (поскольку делегирование явно не выполняется).
А также есть <RSWindowsKerberos>
вариант, но, к сожалению, он не поддерживается браузерами.
Что даже стоит, после такого входа в систему NTLM SSRS не будет в течение некоторого времени пытаться получить билет Kerberos от имени пользователя - даже если теперь пользователь входит в систему с использованием Kerberos, даже из другого браузера или с другой станции. Я думаю, это связано с тем, что SSRS запускает некоторый объект сеанса для пользователя после успешного входа в систему и связывает новые логины с этим сеансом, поэтому, пока он не истечет (примерно через 10 минут), попытки делегирования не будут предприниматься.
Есть ли способ вызвать сбой входа в систему NTLM или, по крайней мере, дать пользователю предупреждение о том, что он должен закрыть свой браузер, подождать некоторое время и повторно войти в систему с помощью Kerberos?