Kerberos策略的配置分析

95次阅读
没有评论

共计 1352 个字符,预计需要花费 4 分钟才能阅读完成。

丸趣 TV 小编给大家分享一下 Kerberos 策略的配置分析,相信大部分人都还不怎么了解,因此分享这篇文章给大家参考一下,希望大家阅读完这篇文章后大有收获,下面让我们一起去了解一下吧!

Kerberos 策略用于域用户账户,用于确定与 Kerberos 相关的设置,例如票证的有效期限和强制执行。但 Kerberos 策略只能应用于域中的计算机中。要设置 Kerberos 策略,可在“默认域安全设置”窗口中,依次选择“Windows 设置”→“安全设置”→“账户策略”→“Kerberos 策略”选项。

(1)服务票证最长寿命

该策略用来设置确定使用所授予的会话票证可访问特定服务的最长时间(以分钟为单位)。该设置必须大于 10 分钟并且小于或等于用户票证最长寿命设置。

如果客户端请求服务器连接时出示的会话票证已过期,服务器将返回错误消息。客户端必须从 Kerberos V5 密钥分发中心(KDC)请求新的会话票证。然而一旦连接通过了身份验证,该会话票证是否仍然有效就无关紧要了。会话票证仅用于验证和服务器的新建连接。如果用于验证连接的会话票证在连接时过期,则当前的操作不会中断。

打开“服务票证最长寿命 属性”对话框,选中“定义这个策略设置”复选框(如图 17-35 所示),然后设置最长时间即可。其他几个策略的操作方式与此相同。

 
图 17-35“服务票证最长寿命 属性”对话框

该策略用来设置确定 KerberosV5 所允许的客户端时钟和提供 Kerberos 身份验证的 Windows Server 2003 域控制器上的时间的最大差值(以分钟为单位)。

为防止“轮番 ***”,KerberosV5 在其协议定义中使用了时间戳。为使时间戳正常工作,客户端和域控制器的时钟应尽可能地保持同步。换言之,应该将这两台计算机设置成相同的时间和日期。因为两台计算机的时钟常常不同步,所以管理员可使用该策略来设置 KerberosV5 所能接受的客户端时钟和域控制器时钟间的最大差值。如果客户端时钟和域控制器时钟间的差值小于该策略中指定的最大时间差,那么在这两台计算机的会话中使用的任何时间戳都将被认为是可信的。

该设置并不是永久性的。如果配置该设置后重新启动计算机,那么该设置将被还原为默认值。

(3)强制用户登录限制

该策略用来设置确定 KerberosV5 密钥分发中心(KDC)是否要根据用户账户的用户权限来验证每一个会话票证请求。验证每一个会话票证请求是可选的,因为额外的步骤需要花费时间,并可能降低服务的网络访问速度。

(4)用户票证续订最长寿命

该策略用来设置确定可以续订用户票证授予票证(TGT)的期限,以天为单位。

(5)用户票证最长寿命

该策略用来设置确定用户票证授予票证(TGT)的最长使用时间,以小时为单位。用户 TGT 期满后,必须请求新的或“续订”现有的用户票证。

补充:出现 Kerberos 续订失败,有可能是域账户委派管理失败的原因。Kerberos 续订周期为10小时,Kerberos  子系统需要发出请求,如果1周出现1-2次没有问题,如果1天出现2次建议安装Hotfix,或继续调查。

以上是“Kerberos 策略的配置分析”这篇文章的所有内容,感谢各位的阅读!相信大家都有了一定的了解,希望分享的内容对大家有所帮助,如果还想学习更多知识,欢迎关注丸趣 TV 行业资讯频道!

正文完
 
丸趣
版权声明:本站原创文章,由 丸趣 2023-08-25发表,共计1352字。
转载说明:除特殊说明外本站除技术相关以外文章皆由网络搜集发布,转载请注明出处。
评论(没有评论)