Accessoirement, si j'ai bien compris d'après la description, il n'y a *aucun* mot de passe dans le système, du coup c'est normal qu'il ne soit pas connu.
En gros :
* ouverture de session : on met la carte-à-puce (qui contient certificat et clef privée) dans le lecteur. Ça permet de faire un PKINIT : la carte-à-puce envoie son certificat et fait un challenge-response (de mémoire) avec une opération crypto sur la carte-à-puce pour prouver à l'AD qu'on possède la clef privée (la carte-à-puce n'autorise cette opération crypto qu'après avoir tapé le code PIN) : on a donc prouvé qu'on possède quelque chose (la carte) et qu'on sait quelque chose (le code PIN), d'où l'authentification à deux facteurs. Au passage, il n'y a bien aucun mot de passe, vu que le challenge-response est jetable.
* le serveur AD est content : il fournit un ticket de session (TGT) qui est valable en général une journée.
* Windows voit le TGT offert par l'AD, et permet donc d'ouvrir la session
* maintenant, on va sur un service web (ou le proxy, c'est le même principe) qui demande une authentification :
* le service web va refuser en disant qu'il connaît Kerberos (ou GSSAPI, c'est la même chose)
* ton navigateur web va donc demander au serveur AD (en fournissant le TGT) un ticket pour le service web en question
* l'AD voit le TGT *et* le service web (lui aussi un TGT), les deux sont autorisés, il te renvoie donc un ticket de session temporaire TGS pour *ce* service web (valable un truc du genre 10 min),
* ton navigateur web retourne au service web en donnant cette fois le TGS.
* le service web voit le TGS et accepte de t'authentifier.
(bon, je fais la description de mémoire et en simplifié, mais je ne dois pas être trop loin de la réalité)
Bref, c'est plutôt pas mal comme configuration
Par contre, je ne vois pas du tout pourquoi un proxy HTTP laisserait passer un flux SSH
Mais bon, si tu peux encapsuler du SSH dans du HTTP, il y a probablement des proxy dékerberisants (en gros, tu fais un proxy local authentifié en kerberos auprès du proxy et qui ne demande aucune authentification, mais je ne me souviens plus du nom).