Я пытался заставить делегирование Kerberos работать во всех браузерах, но мне не повезло. Я использую веб-сервер Java в Linux и Windows.
Firefox (64 бит) в Linux: получение билета и делегирование работает. Я правильно настроил параметры network.negotiate-auth.delegation-uris и network.negotiate-auth.trusted-uris.
Chrome (64-разрядная версия) в Linux: я получаю билет Kerberos, но делегирование не работает. Я пробовал запустить браузер с помощью функции командной строки --auth -gotiate-delegate-whitelist = "{REALM_NAME}", но, похоже, делегирование не выполняется. Возможно, совсем недавно, в ноябре 2017 года, поступил отчет об ошибке, в котором говорилось, что делегирование учетной записи не работает.
Internet Explorer в Windows: получите билет и делегирование работает. Internet Explorer также автоматически извлекает доменное имя AD при заполнении приглашения на вход. IE по умолчанию использует NTLM (что мне не нужно), если у меня не включен параметр «Запрос имени пользователя и пароля» в «Свойства обозревателя - > Безопасность -> Локальная интрасеть -> Другой уровень »
Chrome (64-разрядная версия) в Windows: я могу отправить билет AD Kerberos, но делегированные учетные данные не работают. Кроме того, мне любопытно, почему я должен добавлять @ {DOMAIN_REALM} к имени пользователя, когда появляется запрос на вход, в то время как IE выбирает его автоматически.
Firefox (64-разрядная версия) в Windows: мне пришлось отключить предпочтение «use-SSPI», чтобы отправить билет Kerberos. Firefox по умолчанию использует NTLM, если включен параметр use-SSPI. У меня такие же правильные настройки переговоров, настроенные в Firefox, но делегирование, похоже, не работает. Я проверил файл журнала, и оказалось, что Firefox пытается добавить токен «использовать REQ_DELEGATE» при формировании учетных данных, но мой веб-сервер Java по-прежнему видит учетную запись клиента как не разрешающую делегирование.