6.3 AD域2019:组策略:计算机配置:帐户策略:Kerberos策略 (Kerberos,读“科博使”)(时间、时长)

6.3 AD2019:组策略:计算机配置:帐户策略:Kerberos策略 (Kerberos,读“科博使”)(时间、时长)

Kerberos 这个名字来源于希腊神话,是冥界守护神兽的名字。

Kerberos 是一个三头怪兽,之所以用它来命名一种完全认证协议,是因为整个认证过程涉及到三方:客户端、服务端和 KDC(Key Distribution Center)。在 Windows 域环境中,KDC 的角色由 DC(Domain Controller)来担当。

Kerberos 是一种基于票据 ticket 的认证方式,举个简单的例子来说:

    你想参加一场舞会,被拒绝,对方告诉你需要门票

    你又去往领门票的地方,对方审查你的资格后,发给你一张门票

    最终你凭着这张门票参加了这场舞会,但是对于其他场次的舞会,你任须要去经过资格审查领取门票

下面就来详细聊聊域认证 Kerberos ,值得注意的是,这个流程与上述例子还是有区别的,切勿照搬例子带入

域认证 Kerberos 流程

这块牵涉到的名词比较多,先在前面进行列出,并给出简写

简写        全拼

DC        Domain Controller 域控

KDC        Key Distribution Center 密钥分发中心

AD        Account Database 账户数据库

AS        Authentication Service 身份验证服务

TGS        Ticket Granting Service 票据授与服务

TGT        Ticket Granting Ticket 票据中心授予的票据

 

参考链接:

https://docs.microsoft.com/en-us/windows/win32/secauthn/microsoft-kerberos

 

AD域的成员和DC域控制器通信、信任就是使用Kerberos。

DC域控制器的默认kerberos策略配置:

1.png

电影管理方(卖票者):域控制器

电影场地:文件服务器

电影观众(买票者):域中的成员计算机

服务票证最长寿命:600分钟, 电影观众买了票后,这个票能观看电影时长600分钟(这个票能看多场电影,而且能多次进出,但是使用的时长是600分钟)。

计算机时钟同步的最大容差:卖票者的电表和买票者的手表的时间最大差值,因为票上面有时间。

强制用户登录限制:

用户票证续订最长寿命:针对域控制器不在线的情况,电影观众拿到票,在空上时间内直接可以进入电影院,不需要被检票,如果超过了这个时间,而电影管理方(卖票者),即域控制器不在线时,则进入不了电影院,因为没有管理者在检票了。

所以7天内得与域控制器通信一次。

用户票证最长寿命:针对域控制器在线的情况,如果电影观众与电影管理方通讯正常时,这个时间内需要与域控制器换一张新的票。



AD域活动目录服务(列表、list、全)adlist
http://www.zh-cjh.com/wenzhangguilei/2468.html
WindowsServer2019 AD域服务(列表、list、全)adlist
http://www.zh-cjh.com/wenzhangguilei/2085.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html

1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » 6.3 AD域2019:组策略:计算机配置:帐户策略:Kerberos策略 (Kerberos,读“科博使”)(时间、时长)

作者: cjh


手机扫一扫,手机上查看此文章:

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!