Диагностика Kerberos в Google Chrome (Windows)
1. Проверка политик Chrome
Откройте:
chrome://policy
Ключевые параметры:
- AuthServerAllowlist (или старый AuthServerWhitelist) — список сайтов/доменов.
- AuthNegotiateDelegateAllowlist — список сайтов для делегации.
- AuthSchemes — должно содержать:
ntlm,negotiate.
Если сайт отсутствует в Allowlist — Kerberos не будет использоваться.
2. Проверка заголовков
Откройте DevTools (F12) → вкладка *Network* → выберите запрос → *Headers*.
- Сервер отвечает:
WWW-Authenticate: Negotiate→ готов к Kerberos. - Chrome шлёт:
Authorization: NTLM …→ Kerberos не сработал, откат на NTLM. - Есть только Basic/Digest → сервер сам не предлагает Kerberos.
3. Логирование Chrome
Запустить Chrome с логами:
chrome.exe --enable-logging --v=1
Лог-файл:
%LOCALAPPDATA%\Google\Chrome\User Data\chrome_debug.log
Ищите строки с negotiate, kerberos, ntlm.
4. Проверка тикетов Kerberos
В PowerShell или cmd:
klist
Должен быть тикет:
HTTP/<hostname>@DOMAIN.LOCAL
Очистка тикетов:
klist purge
5. Проверка SPN
На контроллере домена:
setspn -Q HTTP/intranet.corp.local
SPN должен быть привязан к правильному сервисному аккаунту (IIS, service account).
6. Проверка IE/Edge
Chrome использует системные механизмы Windows.
Если в IE Kerberos работает, а в Chrome нет → проблема в chrome:policy
.
Если и в IE нет → проблема в AD/SPN/KDC.
—–
===== 7. Логи системы =====
Откройте Event Viewer:
* Windows Logs → System → Source: Kerberos
* Applications and Services Logs → Microsoft → Windows → Kerberos
—–
===== ⚡ Итоговый чек-лист =====
- [ ] Проверить chrome:policy
- [ ] Проверить заголовки (DevTools → Headers)
- [ ] Включить логирование Chrome
- [ ] Проверить тикеты (
klist) - [ ] Проверить SPN (
setspn -Q) - [ ] Сравнить поведение в IE/Edge
- [ ] Изучить Event Viewer