Você verificou com o fornecedor do balanceador de carga? A F5, por exemplo, possui o módulo Advanced Client Authentication (ACA) para o Gerenciador de Tráfego Local (LTM) que fornece suporte para a delegação restrita de Kerberos.
Eu geralmente entendo os problemas que um balanceador de carga representa para o Kerberos. Na verdade, o artigo da KB da Microsoft afirma que isso não é possível. No entanto, este artigo - também em um site da MS - sugere que existem soluções possíveis.
Alguém configurou um sistema para usar o Kerberos e um balanceador de carga? Você precisa usar um servidor do Forefront? Você pode descrever sua configuração?
Além disso, qual é a funcionalidade precisa que o servidor Forefront fornece para que isso funcione? Pelo que entendi, cada servidor atrás do balanceador de carga requer um SPN diferente e qualquer coisa na frente do balanceador de carga não pode saber para qual SPN solicitar um ticket.
Você verificou com o fornecedor do balanceador de carga? A F5, por exemplo, possui o módulo Advanced Client Authentication (ACA) para o Gerenciador de Tráfego Local (LTM) que fornece suporte para a delegação restrita de Kerberos.
Eu configurei o kerberos e o balanceador de carga haproxy (kindof). Basicamente kerberos precisa dns de servidor backend para auth, o que eu fiz foi eu criei haproxy config com stanza de escuta com dois servidores em duas portas diferentes (81 e 82) no host haproxy com rr e httpchk, então dois frontend e duas estrofes de backend ouvindo essas portas com verificações e redirecionamento para apontar para o host backend com o nome completo do host necessário para a autenticação kerberos. Eu precisava disso para o HA de dois servidores de aplicativos com o aplicativo jboss com kerberos auth, nenhum cookie necessário, já que o haproxy apenas faz o redirecionamento 301 para o servidor backend e todo o tráfego vai para o servidor que está ativo. A desvantagem disso é que o usuário pode ver o nome do host completo do servidor backend e ele precisa estar acessível para o usuário, portanto, melhor se for usado apenas para material interno, não tendo certeza se você pode fazer isso de maneira diferente no haproxy. Se houver outra maneira de fazer isso, o back-end não estará visível - seria ótimo se alguém compartilhasse as informações!
Tags kerberos load-balancing