Диагностика Kerberos в Google Chrome (Windows)

Откройте:

chrome://policy

Ключевые параметры:

• AuthServerAllowlist (или старый AuthServerWhitelist) — список сайтов/доменов.
• AuthNegotiateDelegateAllowlist — список сайтов для делегации.
• AuthSchemes — должно содержать: ntlm,negotiate.

Если сайт отсутствует в Allowlist — Kerberos не будет использоваться.

Откройте DevTools (F12) → вкладка *Network* → выберите запрос → *Headers*.

• Сервер отвечает: WWW-Authenticate: Negotiate → готов к Kerberos.
• Chrome шлёт: Authorization: NTLM … → Kerberos не сработал, откат на NTLM.
• Есть только Basic/Digest → сервер сам не предлагает Kerberos.

Запустить Chrome с логами:

chrome.exe --enable-logging --v=1

Лог-файл:

%LOCALAPPDATA%\Google\Chrome\User Data\chrome_debug.log

Ищите строки с negotiate, kerberos, ntlm.

В PowerShell или cmd:

klist

Должен быть тикет:

HTTP/<hostname>@DOMAIN.LOCAL

Очистка тикетов:

klist purge

На контроллере домена:

setspn -Q HTTP/intranet.corp.local

SPN должен быть привязан к правильному сервисному аккаунту (IIS, service account).

Chrome использует системные механизмы Windows. Если в IE Kerberos работает, а в Chrome нет → проблема в chrome:policy. Если и в IE нет → проблема в AD/SPN/KDC. —– ===== 7. Логи системы ===== Откройте Event Viewer: * Windows Logs → System → Source: Kerberos * Applications and Services Logs → Microsoft → Windows → Kerberos —– ===== ⚡ Итоговый чек-лист ===== - [ ] Проверить chrome:policy

1. [ ] Проверить заголовки (DevTools → Headers)
2. [ ] Включить логирование Chrome
3. [ ] Проверить тикеты (klist)
4. [ ] Проверить SPN (setspn -Q)
5. [ ] Сравнить поведение в IE/Edge
6. [ ] Изучить Event Viewer