Kerberos 정책

Kerberos 티켓 정책은 도메인 수준에서 정의되고 도메인의 KDC(키 배포 센터)에 의해 구현됩니다. Kerberos 정책은 도메인 보안 정책 특성의 하위 집합으로 Active Directory에 저장됩니다. 기본적으로 정책 옵션은 도메인 관리자 그룹의 구성원만 설정할 수 있습니다. 도메인 정책에는 다음 옵션이 포함됩니다.

• 게시된 티켓 지원
• 제한된 위임 지원(Windows Server 2003에만 해당)
• 전달할 수 있는 지원 티켓
• 재생 가능 티켓 지원
• 최대 티켓 기간 설정
• 최대 갱신 기간 설정
• 최대 프록시 티켓 기간 설정
• 티켓이 만료되면 강제로 사용자 로그오프

제한된 위임사용하면 특정 서비스 목록에만 자격 증명을 전달할 수 있도록 컴퓨터를 설정할 수 있습니다. 이러한 서비스는 자격 증명을 전달하는 컴퓨터와 동일한 도메인에 있어야 합니다. 제한된 위임따라 티켓은 더 이상 클라이언트에서 서버로 전송되지 않습니다. 서버 컴퓨터는 클라이언트를 인증하는 데 사용되는 정보에서 필요에 따라 전달할 서비스 티켓을 만듭니다.

도메인에 대한 Kerberos 정책은 티켓을 전달하도록 허용하여 위임된 인증을 허용할 수 있지만 정책의 해당 측면이 모든 사용자 또는 모든 컴퓨터에 적용되지는 않습니다. 개별 사용자 계정의 특성을 설정하여 모든 서버에서해당 사용자의자격 증명 전달을 사용하지 않도록 설정할 수 있습니다. 개별 컴퓨터 계정의 특성을 설정하여 모든 사용자의 자격 증명 전달을 사용하지 않도록 설정할 수 있습니다. 두 경우 모두 Active Directory의 조직 구성 단위에 있는 모든 사용자 또는 모든 컴퓨터에 적용할 그룹 정책을 만들어 위임을 사용하지 않도록 설정할 수 있습니다.

Windows XP/2000: 제한된 위임은 지원되지 않습니다.