5.8 Kerberos V5身份认证的启用与策略配置

5.8  Kerberos V5身份认证的启用与策略配置

Kerberos V5身份认证协议在安装期间为所有加入Windows Server 2003或Windows 2000域的计算机默认启用。Kerberos可对域内的资源和驻留在受信任的域中的资源提供单一登录，所以一般不需要手动启用Kerberos策略，除非在此之前你手动禁用了Kerberos策略。

可通过那些作为账户策略一部分的Kerberos安全设置来控制Kerberos配置的某些方面。Kerberos策略如图5-26所示，但仅在域组策略中有。例如，你可以设置用户的Kerberos V5票证的寿命。作为管理员，你可以使用默认的Kerberos策略，也可以更改它以适应环境的需要。

图5-26  域组策略中的Kerberos策略

使用Kerberos V5进行成功的身份认证要求客户端和服务器计算机都必须运行Windows 2000、Windows Server 2003家族或Windows XP Professional操作系统。如果客户端系统尝试向运行其他版本的Windows操作系统的服务器进行身份认证，那么将使用NTLM协议作为身份认证机制。

使用Kerberos进行身份认证的计算机必须使其时间设置在5分钟内与常规时间服务同步，否则身份认证将失败。运行Windows Server 2003家族成员、Windows XP Professional或Windows 2000的计算机将使用域控制器作为网络时间服务来自动更新当前时间。

Kerberos策略用于域用户账户。它们确定与 Kerberos 相关的设置，例如票证的有效期限和强制执行。Kerberos 策略不存在于本地计算机策略中。这部分包括以下几个内容。

强制用户登录限制。

服务票证最长寿命。

用户票证最长寿命。

用户票证续订最长寿命。

计算机时钟同步的最大容差。

1. 强制用户登录限制

本安全设置确定Kerberos V5密钥分发中心（KDC）是否要根据用户账户的用户权限来验证每一个会话票证请求。验证每一个会话票证请求是可选的，因为额外的步骤需要花费时间，并可能降低服务的网络访问速度。

默认值：已启用。

2. 服务票证最长寿命

该安全设置确定使用所授予的会话票证可访问特定服务的最长时间（以分钟为单位）。该设置必须大于10分钟并且小于或等于"用户票证最长寿命"策略项设置。

如果客户端请求服务器连接时出示的会话票证已过期，服务器将返回错误消息。该客户端必须从Kerberos V5密钥分发中心（KDC）请求新的会话票证。然而一旦连接通过了身份认证，该会话票证是否仍然有效就无关紧要了。会话票证仅用于验证和服务器的新建连接。如果用于验证连接的会话票证在连接时过期，则当前的操作不会中断。

默认值：600分钟（10小时）。

3. 用户票证最长寿命

该安全设置确定用户票证授予票证（TGT）的最长使用时间（单位为小时）。用户的TGT期满后，必须申请新的或续订现有的用户票证。

默认值：10小时。

4. 用户票证续订最长寿命

该安全设置确定可以续订用户票证授予票证（TGT）的期限（以天为单位）。

默认值：7天。

5. 计算机时钟同步的最大容差

本安全设置确定Kerberos V5所允许的客户端时钟和提供Kerberos身份认证的Windows Server 2003域控制器上的时间的最大差值（以分钟为单位）。

为了防止"轮番攻击"，Kerberos V5将时间戳用做其协议定义的一部分。为使时间戳正常工作，客户端和域控制器的时钟应尽可能地保持同步。换言之，应该将这两台计算机设置成相同的时间和日期。因为两台计算机的时钟常常不同步，所以管理员可使用该策略来设置Kerberos V5所能接受的客户端时钟和域控制器时钟间的最大差值。如果客户端时钟和域控制器时钟间的差值小于该策略中指定的最大时间差，那么在这两台计算机的会话中使用的任何时间戳都将被认为是可信的。

默认值：5分钟。

该设置并不是永久性的。如果配置该设置后重新启动计算机，那么该设置将被还原为默认值。