Eu tenho tentado fazer a delegação do Kerberos funcionar em todos os navegadores, mas não estou tendo sorte. Estou executando um servidor da Web Java no Linux e no Windows.
Firefox (64 bits) no Linux: receba os trabalhos de ticket e delegação. Eu configurei as preferências network.negotiate-auth.delegation-uris e network.negotiate-auth.trusted-uris adequadamente.
Chrome (64 bits) no Linux: Eu recebo o ticket Kerberos, mas a delegação não funciona. Eu tentei iniciar o navegador com o recurso de linha de comando --auth-negotiate-delegate-whitelist="{REALM_NAME}", mas parece não delegar. Pode ter havido um relatório de bug arquivado recentemente em novembro de 2017 dizendo que a delegação da conta não está funcionando.
Internet Explorer no Windows: receba os trabalhos de ticket e delegação. O Internet Explorer também recupera automaticamente o Nome de Domínio do AD quando o prompt de login é preenchido. O padrão do IE é NTLM (que não desejo) se eu não tiver a configuração "Solicitar nome de usuário e senha" ativada em "Opções da Internet - > Segurança - > Intranet local - > Nível personalizado "
Chrome (64 bits) no Windows: posso enviar o ticket do AD Kerberos, mas as credenciais delegadas não estão funcionando. Além disso, estou curioso para saber por que devo anexar @ {DOMAIN_REALM} ao nome de usuário quando o prompt de login aparecer, enquanto o IE o recupera automaticamente.
Firefox (64 bits) no Windows: Eu tive que desativar a preferência "use-SSPI" para enviar o ticket do Kerberos. O Firefox assume como padrão o NTLM se a preferência use-SSPI estiver ativada. Eu tenho as mesmas preferências negociar adequadas configuradas no Firefox, mas a delegação parece não funcionar. Verifiquei o arquivo de log e parece que o Firefox tenta anexar o token "use REQ_DELEGATE" ao formar as credenciais, mas meu servidor da Web Java ainda vê a conta do cliente como não permitindo a delegação.