Bagikan melalui

Kebijakan Kerberos

  • Artikel

Kebijakan tiket Kerberos ditentukan di tingkat domain dan diterapkan olehPusat Distribusi Kunci (KDC)domain. Kebijakan Kerberos disimpan di Direktori Aktif sebagai subset atribut kebijakan keamanan domain. Secara default, opsi kebijakan hanya dapat diatur oleh anggota grup Administrator Domain. Kebijakan domain mencakup opsi yang:

  • Mendukung tiket yang diposting
  • Mendukung delegasi yang dibatasi (hanya Windows Server 2003)
  • Tiket dukungan yang dapat diteruskan
  • Mendukung tiket yang dapat diperpanjang
  • Tetapkan usia tiket maksimum
  • Atur usia perpanjangan maksimum
  • Atur usia tiket proksi maksimum
  • Log keluar pengguna secara paksa saat tiket kedaluwarsa

Dengan delegasi yang dibatasi, komputer dapat diatur untuk memungkinkan penerusan kredensial hanya ke daftar layanan tertentu. Layanan tersebut harus berada di domain yang sama dengan komputer yang meneruskan kredensial. Di bawah delegasi yang dibatasi, tiket tidak lagi dikirim dari klien ke server. Komputer server membuat tiket layanan untuk diteruskan seperlunya dari informasi yang digunakan untuk mengautentikasi klien.

Meskipun kebijakan Kerberos untuk domain dapat mengizinkan autentikasi yang didelegasikan dengan mengizinkan tiket diteruskan, aspek kebijakan tersebut tidak perlu berlaku untuk semua pengguna atau semua komputer. Atribut akun pengguna individual dapat diatur untuk menonaktifkan penerusan kredensial pengguna tersebut oleh server mana pun. Atribut akun komputer individual dapat diatur untuk menonaktifkan penerusan kredensial dari pengguna mana pun. Dalam kedua kasus, delegasi dapat dinonaktifkan dengan membuat kebijakan grup untuk diterapkan ke semua pengguna atau semua komputer di unit organisasi Direktori Aktif.

Windows XP/2000: delegasi Dibatasi tidak didukung.