Поделиться через

Политика Kerberos

  • Статья

Политика билета Kerberos определяется на уровне домена и реализуется центром распространения ключей домена (KDC). Политика Kerberos хранится в Active Directory как подмножество атрибутов политики безопасности домена. По умолчанию параметры политики могут задавать только члены группы "Администраторы домена". Политика домена включает параметры, которые:

  • Запросы в службу поддержки
  • Поддержка ограниченного делегирования (только Windows Server 2003)
  • Запросы в службу поддержки, которые можно перенаправить
  • Поддержка возобновляемых билетов
  • Установка максимального срока действия билета
  • Установка максимального срока продления
  • Установка максимального срока действия билета прокси-сервера
  • Принудительное отключение пользователей при истечении срока действия билетов

При ограниченном делегировании на компьютере можно настроить перенаправление учетных данных только в определенный список служб. Эти службы должны находиться в том же домене, что и компьютер, пересылающий учетные данные. При ограниченном делегировании билеты больше не отправляются с клиента на сервер. Сервер создает билеты службы для пересылки по мере необходимости из сведений, используемых для проверки подлинности клиента.

Хотя политика Kerberos для домена может разрешить делегированную проверку подлинности, разрешив перенаправление билетов, этот аспект политики не должен применяться ко всем пользователям или всем компьютерам. Атрибут отдельной учетной записи пользователя можно настроить, чтобы отключить пересылку учетных данных этого пользователя любым сервером. Атрибут учетной записи отдельного компьютера можно настроить, чтобы отключить пересылку учетных данных от любого пользователя. В обоих случаях делегирование можно отключить, создав групповую политику, применяемую ко всем пользователям или всем компьютерам в подразделении Active Directory.

Windows XP/2000: Ограниченное делегирование не поддерживается.