Делегирование работает в некоторых браузерах, но не в других
Я пытался заставить делегирование Kerberos работать во всех браузерах, но мне не повезло. Я использую веб-сервер Java на Linux и Windows.
Firefox (64-разрядная версия) в Linux: получите заявку и делегирование работ. Я установил параметры network.negotiate-auth.delegation-uris и network.negotiate-auth.trusted-uris соответственно.
Chrome (64-разрядный) в Linux: я получаю билет Kerberos, но делегирование не работает. Я попытался запустить браузер с функцией командной строки --auth-gotiate-Delegate-whitelist="{REALM_NAME}", но, похоже, не делегировать. Возможно, в ноябре 2017 года был подан отчет об ошибке, в котором говорится, что делегирование аккаунта не работает.
Internet Explorer в Windows: получите заявку и делегирование работ. Internet Explorer также автоматически извлекает доменное имя AD при заполнении приглашения на вход в систему. IE по умолчанию использует NTLM (что мне не нужно), если у меня не включена настройка "Запрашивать имя пользователя и пароль" в "Свойства обозревателя -> Безопасность -> Локальная интрасеть -> Пользовательский уровень "
Chrome (64-разрядный) в Windows: я могу отправить билет AD Kerberos, но делегированные учетные данные не работают. Кроме того, мне любопытно, почему я должен добавлять @{DOMAIN_REALM} к имени пользователя при появлении приглашения на вход в систему, в то время как IE автоматически его подбирает.
Firefox (64-разрядная версия) в Windows: мне пришлось отключить параметр "use-SSPI" для отправки билета Kerberos. Firefox по умолчанию использует NTLM, если включена опция use-SSPI. У меня есть те же правильные параметры согласования, настроенные в Firefox, но делегирование, похоже, не работает. Я проверил файл журнала, и похоже, что Firefox пытается добавить маркер "use REQ_DELEGATE" при формировании учетных данных, но мой веб-сервер Java все еще видит учетную запись клиента как запрещающую делегирование.