Для аутентифкации по протоколу Kerberos на сервере клиент должен предъявить билет, кторый может выдать только третья сторона (KDC), которой доверяют и клиент и сервер. А откуда он у внешнего клиента-то возьмется, если он про ваш внутренний KDC (например, контроллер домена AD) ничего не знает?
В Windows Kerberos для аутентификации на сайте Kerberos используется в комплекте с NTLM в рамках механизма аутентификации Negotiate. Клиент, увидев, что сервер предланает ему этот механизм, запрашивает у своего KDC билет для этого сервера, а если билет получить невозможно - переходит на аутентифкацию по NTLM, и для этого как раз и запрашивается имя пользователя и пароль в пресловутом окошке. А при использовании только Kerberos пароль запрашивать не нужно.
PS Постарайтесь не путать аутентификацию (проверку подлинности пользователя) и авторизацию (проверку разрешения на операцию).
Сложный
Простой
Простой
Средний
