Histórico:
Temos um problema com uma rede AD que se manifesta apenas com o IE ou Chrome quando o PC usado para acessar nosso servidor da Web está vinculado ao AD em questão. Nenhum token é passado e não há entradas nos logs do servidor relacionadas à negociação de token. Se usarmos o Firefox e ativar as opções network.negotiate-auth, o usuário poderá efetuar login sem problemas, no entanto, receberá um erro de autorização ao usar o IE. O site está na zona da intranet e o IWA está marcado (isso é controlado pelo GPO)
Se os usuários tentarem acessar o site com o IE ou o Chrome de fora do AD, eles receberão o prompt de autenticação esperado e um token será enviado corretamente.
Falei com os administradores de rede e eles estão certos de que não há configuração especial necessária para o AD garantir que a autenticação Kerberos funcione, mas não consigo entender por que a autenticação funciona para seis outras redes do AD e falha por esse 1 se não for até a própria configuração do AD.
Estou faltando alguma coisa? O que poderia explicar a falha em negociar um token?
[Nota - isto não é urgente, e como eu estou deixando o escritório agora responderá qualquer pedido para mais detalhes na segunda-feira]
O problema era que um token estava sendo enviado e a negociação tentada automaticamente quando dentro da rede AD, mas sempre falhava devido à criptografia usada ao gerar o keytab.
Originalmente usamos -crypto DES-CBC-CRC mas assim que mudamos para o -crypto RC4-HMAC-NT o problema desapareceu.
Não é um especialista nisso, mas estou inclinado a pensar que, se nenhum token de negociação estiver sendo trocado, o problema pode estar no fato de o aplicativo não ter seu SPN registrado com o nome de usuário associado ao keytab.
Se for esse o caso, o seguinte comando executado no servidor do AD pode corrigi-lo:
setspn –a HTTP / (seuhostname) (keytabusername)
por exemplo. setspn -a HTTP / intranetappsrv.mycompany.com jbossaccount