我之前也碰到过Keycloak搭配Kerberos时prompt=login参数失效的情况，这里帮你拆解原因和可行的解决办法：

为什么prompt=login对Kerberos不生效？ #

Kerberos的认证流程是浏览器主动触发的：当浏览器识别到Keycloak服务器支持Negotiate协议时，会自动向服务器发送本地缓存的Kerberos票据，这个过程发生在OpenID Connect的授权逻辑之前。也就是说，还没等prompt=login参数生效，Keycloak已经通过Kerberos完成了用户认证，自然不会跳转到手动登录页面。

可行的替代方案 #

1. 临时禁用浏览器的Kerberos自动认证（适合临时登录管理员账号） #

• Chrome：打开chrome://settings/privacy → 找到「网站设置」→ 「身份验证」→ 关闭「自动登录」选项，或者把Keycloak的域名从「允许自动登录的网站」列表中移除。
• Firefox：输入about:config → 搜索network.negotiate-auth.trusted-uris → 把你的Keycloak域名从该配置值中删除，保存后重启浏览器。

这种方法简单直接，用完记得恢复设置，避免影响日常Kerberos登录。

2. 通过kc_idp_hint=local强制使用本地账号认证 #

在登录URL中添加kc_idp_hint=local参数，强制Keycloak使用本地的用户名密码登录流，跳过Kerberos身份提供者。完整的URL示例：

/realms/你的领域名/protocol/openid-connect/auth?response_type=code&client_id=你的客户端ID&redirect_uri=你的回调地址&prompt=login&kc_idp_hint=local

这个参数在Keycloak 14.x/15.x版本中是有效的，它会告诉Keycloak直接使用本地认证，忽略Kerberos的自动协商流程。

3. 自定义客户端的认证流程（适合长期调整） #

如果需要让所有用户都可以选择手动登录，可以修改客户端的认证流：

1. 登录Keycloak后台，进入目标客户端的「Authentication」标签页。
2. 在「Browser Flow」下拉框中选择「Copy」，创建一个自定义的认证流。
3. 编辑这个自定义流，将「Kerberos」执行步骤的类型从「Required」改为「Alternative」，或者把「Username Password Form」步骤移到「Kerberos」步骤之前。
4. 回到客户端设置，将「Browser Flow」切换为你刚创建的自定义流。

这样设置后，用户访问登录页面时会优先显示表单登录，或者在Kerberos认证失败时 fallback 到表单登录。

4. 创建独立的管理员登录客户端（推荐生产环境使用） #

单独创建一个仅支持表单登录的客户端，不启用Kerberos认证：

1. 在Keycloak后台新建一个客户端，选择「OpenID Connect」类型。
2. 在客户端的「Authentication Flow Overrides」中，将「Browser Flow」设置为默认的「browser」流（确保没有Kerberos步骤）。
3. 管理员通过这个客户端的专属登录地址访问，即可直接进入手动登录页面，不会触发Kerberos自动认证。

这种方案隔离了管理员和普通用户的登录流程，不会影响业务系统的正常Kerberos登录。

内容的提问来源于stack exchange，提问作者flavio.donze