Привет.
Мне нужна помощь экспертов по kerberos и доверительным отношениям между доменами.
Возможно, кто-то с этим сталкивался.
1. Есть домен
domain4.lc. В нём выписан кейтаб на SPN HTTP/ololo.domain@DOMAIN4.LC
2. Есть домен
domain5.lc.
3. Между этими доменами доверие (не суть важно какое)
4. Пользователь домена
domain4.lc нормально входит в систему в помощью kerberos через браузер.
5. Пользователь домена
domain5.lc - не очень. Т.е. браузер вместо нормальног тикета отправляет NTLM.
6. Если у пользователя домена
domain5.lc на рабочем месте прямо явно выполнить в cmd
klist get HTTP/ololo.domain@DOMAIN4.LC
То он нормально получает тикет. И потом спокойно может войти в приложение.
Можно, конечно, в качестве костыля logon-скрипт запилить. Но мне такой вариант не нравится. Хотелось бы решить как-то системно.
ЧТо за херня? Как это побороть?
