Kerberos策略用于域用戶賬戶，用于確定與Kerberos相關(guān)的設(shè)置，例如票證的有效期限和強(qiáng)制執(zhí)行。但Kerberos策略只能應(yīng)用于域中的計(jì)算機(jī)中。要設(shè)置Kerberos策略，可在“默認(rèn)域安全設(shè)置”窗口中，依次選擇“Windows設(shè)置”→“安全設(shè)置”→“賬戶策略”→“Kerberos 策略”選項(xiàng)。

（1）服務(wù)票證最長(zhǎng)壽命

該策略用來(lái)設(shè)置確定使用所授予的會(huì)話票證可訪問(wèn)特定服務(wù)的最長(zhǎng)時(shí)間（以分鐘為單位）。該設(shè)置必須大于10分鐘并且小于或等于用戶票證最長(zhǎng)壽命設(shè)置。

如果客戶端請(qǐng)求服務(wù)器連接時(shí)出示的會(huì)話票證已過(guò)期，服務(wù)器將返回錯(cuò)誤消息。客戶端必須從Kerberos V5密鑰分發(fā)中心（KDC）請(qǐng)求新的會(huì)話票證。然而一旦連接通過(guò)了身份驗(yàn)證，該會(huì)話票證是否仍然有效就無(wú)關(guān)緊要了。會(huì)話票證僅用于驗(yàn)證和服務(wù)器的新建連接。如果用于驗(yàn)證連接的會(huì)話票證在連接時(shí)過(guò)期，則當(dāng)前的操作不會(huì)中斷。

打開“服務(wù)票證最長(zhǎng)壽命 屬性”對(duì)話框，選中“定義這個(gè)策略設(shè)置”復(fù)選框（如圖17-35所示），然后設(shè)置最長(zhǎng)時(shí)間即可。其他幾個(gè)策略的操作方式與此相同。

??
圖17-35 “服務(wù)票證最長(zhǎng)壽命 屬性”對(duì)話框

該策略用來(lái)設(shè)置確定KerberosV5所允許的客戶端時(shí)鐘和提供Kerberos身份驗(yàn)證的Windows Server 2003域控制器上的時(shí)間的最大差值（以分鐘為單位）。

為防止“輪番***”，KerberosV5在其協(xié)議定義中使用了時(shí)間戳。為使時(shí)間戳正常工作，客戶端和域控制器的時(shí)鐘應(yīng)盡可能地保持同步。換言之，應(yīng)該將這兩臺(tái)計(jì)算機(jī)設(shè)置成相同的時(shí)間和日期。因?yàn)閮膳_(tái)計(jì)算機(jī)的時(shí)鐘常常不同步，所以管理員可使用該策略來(lái)設(shè)置KerberosV5所能接受的客戶端時(shí)鐘和域控制器時(shí)鐘間的最大差值。如果客戶端時(shí)鐘和域控制器時(shí)鐘間的差值小于該策略中指定的最大時(shí)間差，那么在這兩臺(tái)計(jì)算機(jī)的會(huì)話中使用的任何時(shí)間戳都將被認(rèn)為是可信的。

該設(shè)置并不是永久性的。如果配置該設(shè)置后重新啟動(dòng)計(jì)算機(jī)，那么該設(shè)置將被還原為默認(rèn)值。

（3）強(qiáng)制用戶登錄限制

該策略用來(lái)設(shè)置確定KerberosV5密鑰分發(fā)中心（KDC）是否要根據(jù)用戶賬戶的用戶權(quán)限來(lái)驗(yàn)證每一個(gè)會(huì)話票證請(qǐng)求。驗(yàn)證每一個(gè)會(huì)話票證請(qǐng)求是可選的，因?yàn)轭~外的步驟需要花費(fèi)時(shí)間，并可能降低服務(wù)的網(wǎng)絡(luò)訪問(wèn)速度。

（4）用戶票證續(xù)訂最長(zhǎng)壽命

該策略用來(lái)設(shè)置確定可以續(xù)訂用戶票證授予票證（TGT）的期限，以天為單位。

（5）用戶票證最長(zhǎng)壽命

該策略用來(lái)設(shè)置確定用戶票證授予票證（TGT）的最長(zhǎng)使用時(shí)間，以小時(shí)為單位。用戶TGT期滿后，必須請(qǐng)求新的或“續(xù)訂”現(xiàn)有的用戶票證。

補(bǔ)充：出現(xiàn)Kerberos續(xù)訂失敗，有可能是域賬戶委派管理失敗的原因。Kerberos續(xù)訂周期為１０小時(shí)，Kerberos?子系統(tǒng)需要發(fā)出請(qǐng)求，如果１周出現(xiàn)１－２次沒有問(wèn)題，如果１天出現(xiàn)２次建議安裝Ｈｏｔｆｉｘ，或繼續(xù)調(diào)查。

總結(jié)

以上是生活随笔為你收集整理的Kerberos策略的配置的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。