A questão, como se constata, não foi com o Kerberos. Há duas configurações de realms de autenticação - 1 para o IWA Direct e 1 para o IWA BCAAA. O domínio BCAAA não possui autenticação kerberos. Ao se conectar ao bbc.com, o usuário autentica usando o domínio Kerberos. Devido ao processo de autenticação ser definido como proxy, ele requer autenticação em cada nova tentativa de conexão. No entanto, um URL de segundo plano no site da BBC (provavelmente algum site de anúncios) estava atingindo outra regra de política de autenticação listada antes da regra de política de autenticação Kerberos. Ele foi definido como Proxy IP (auth a cada 15 minutos usando um substituto de IP) e somente a autenticação NTLM e Basic estava disponível. Assim, estava apresentando um popup de autorização, pois as demais sessões do site estavam sendo autorizadas pelo território Kerberos.