Kerberos策略的配置分析

小編給大家分享一下Kerberos策略的配置分析，相信大部分人都還不怎么了解，因此分享這篇文章給大家參考一下，希望大家閱讀完這篇文章后大有收獲，下面讓我們一起去了解一下吧！

Kerberos策略用于域用戶賬戶，用于確定與Kerberos相關的設置，例如票證的有效期限和強制執行。但Kerberos策略只能應用于域中的計算機中。要設置Kerberos策略，可在“默認域安全設置”窗口中，依次選擇“Windows設置”→“安全設置”→“賬戶策略”→“Kerberos 策略”選項。

（1）服務票證最長壽命

該策略用來設置確定使用所授予的會話票證可訪問特定服務的最長時間（以分鐘為單位）。該設置必須大于10分鐘并且小于或等于用戶票證最長壽命設置。

如果客戶端請求服務器連接時出示的會話票證已過期，服務器將返回錯誤消息。客戶端必須從Kerberos V5密鑰分發中心（KDC）請求新的會話票證。然而一旦連接通過了身份驗證，該會話票證是否仍然有效就無關緊要了。會話票證僅用于驗證和服務器的新建連接。如果用于驗證連接的會話票證在連接時過期，則當前的操作不會中斷。

打開“服務票證最長壽命 屬性”對話框，選中“定義這個策略設置”復選框（如圖17-35所示），然后設置最長時間即可。其他幾個策略的操作方式與此相同。

  
圖17-35 “服務票證最長壽命 屬性”對話框

該策略用來設置確定KerberosV5所允許的客戶端時鐘和提供Kerberos身份驗證的Windows Server 2003域控制器上的時間的最大差值（以分鐘為單位）。

為防止“輪番***”，KerberosV5在其協議定義中使用了時間戳。為使時間戳正常工作，客戶端和域控制器的時鐘應盡可能地保持同步。換言之，應該將這兩臺計算機設置成相同的時間和日期。因為兩臺計算機的時鐘常常不同步，所以管理員可使用該策略來設置KerberosV5所能接受的客戶端時鐘和域控制器時鐘間的最大差值。如果客戶端時鐘和域控制器時鐘間的差值小于該策略中指定的最大時間差，那么在這兩臺計算機的會話中使用的任何時間戳都將被認為是可信的。

該設置并不是永久性的。如果配置該設置后重新啟動計算機，那么該設置將被還原為默認值。

（3）強制用戶登錄限制

該策略用來設置確定KerberosV5密鑰分發中心（KDC）是否要根據用戶賬戶的用戶權限來驗證每一個會話票證請求。驗證每一個會話票證請求是可選的，因為額外的步驟需要花費時間，并可能降低服務的網絡訪問速度。

（4）用戶票證續訂最長壽命

該策略用來設置確定可以續訂用戶票證授予票證（TGT）的期限，以天為單位。

（5）用戶票證最長壽命

該策略用來設置確定用戶票證授予票證（TGT）的最長使用時間，以小時為單位。用戶TGT期滿后，必須請求新的或“續訂”現有的用戶票證。

補充：出現Kerberos續訂失敗，有可能是域賬戶委派管理失敗的原因。Kerberos續訂周期為１０小時，Kerberos 子系統需要發出請求，如果１周出現１－２次沒有問題，如果１天出現２次建議安裝Ｈｏｔｆｉｘ，或繼續調查。

以上是“Kerberos策略的配置分析”這篇文章的所有內容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內容對大家有所幫助，如果還想學習更多知識，歡迎關注億速云行業資訊頻道！