Sdílet prostřednictvím

Zásady protokolu Kerberos

  • Článek

Zásady lístku Kerberos jsou definovány na úrovni domény a implementovány službou Key Distribution Center (KDC). Zásady Protokolu Kerberos jsou uloženy ve službě Active Directory jako podmnožina atributů zásad zabezpečení domény. Ve výchozím nastavení můžou možnosti zásad nastavit jenom členové skupiny Domain Administrators. Zásady domény zahrnují možnosti, které:

  • Podpora postdatálních lístků
  • Podpora omezeného delegování (jenom Windows Server 2003)
  • Lístky podpory, které je možné přeposlat
  • Podpora obnovitelných lístků
  • Nastavení maximálního stáří lístku
  • Nastavení maximálního věku prodloužení
  • Nastavení maximálního stáří lístku proxy serveru
  • Vynucené odhlášení uživatelů při vypršení platnosti lístků

U omezeného delegováníje možné nastavit počítač tak, aby povoloval předávání přihlašovacích údajů pouze konkrétnímu seznamu služeb. Tyto služby musí být umístěné ve stejné doméně jako počítač, který předává přihlašovací údaje. V rámci omezeného delegováníse lístky již odesílají z klienta na server. Serverový počítač vytvoří lístky služeb, které se budou předávat podle potřeby z informací použitých k ověření klienta.

Přestože zásady Kerberos pro doménu můžou povolit delegované ověřování povolením předávání lístků, tento aspekt zásad se nemusí vztahovat na všechny uživatele nebo všechny počítače. Atribut individuálního uživatelského účtu lze nastavit tak, aby zakázal předávání přihlašovacích údajů daného uživatele libovolným serverem. Atribut účtu jednotlivého počítače lze nastavit tak, aby zakázal předávání přihlašovacích údajů libovolnému uživateli. V obou případech je možné delegování zakázat vytvořením zásad skupiny, které se použijí pro všechny uživatele nebo všechny počítače v organizační jednotce služby Active Directory.

Windows XP/2000: Omezené delegování není podporováno.