Unterstützt die Kerberos-Implementierung von Active Directory die Einstellungen für die Lebensdauer von Tickets pro Benutzer?

7

Mit MIT Kerberos unterstützt das Dienstprogramm kadmin die Erstellung von Principals mit einer expliziten maximalen Ticketlebensdauer und Verlängerungslebensdauer (Argumente -maxlife und -maxrenewlife für add_principal), die sich möglicherweise von der Standard- Ticketlebensdauer und -erneuerungslebensdauer des Realms unterscheiden. Wenn Ihr Realm eine Standardlebensdauer von 24 Stunden und eine Verlängerungslebensdauer von 7 Tagen hat, kann ein bestimmter Principal 1 Stunde bzw. 1 Tag betragen.

Ich versuche herauszufinden, ob die Kerberos-Implementierung von Active Directory dasselbe unterstützt. Mein Bauch sagt nein, aber es fällt mir schwer, es definitiv zu beweisen, außer dass ich keine offensichtlichen Attribute auf einem Konto finden kann, die diese Fähigkeit ermöglichen könnten.

Kann jemand meine Bauchantwort bestätigen oder ablehnen?

Ryan Bolger
quelle

Antworten:

3

Nach meiner Lektüre nein. Es ist wie eine Kennwortrichtlinie - sie wird auf Domänenebene definiert.

http://technet.microsoft.com/en-us/library/cc757692(v=ws.10).aspx#w2k3tr_sepol_accou_set_hpjo

Die Richtlinieneinstellungen unter Kontorichtlinien werden auf Domänenebene implementiert.

Fein abgestimmte Kennwortrichtlinien können hierfür nicht verwendet werden, da sie keine Kerberos-Einstellungen enthalten.

http://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx

Ein PSO verfügt über Attribute für alle Einstellungen, die in der Standarddomänenrichtlinie definiert werden können (mit Ausnahme der Kerberos-Einstellungen).

Tut mir leid zu sagen, es scheint, dass Sie kein Glück haben.

mfinni
quelle
Das habe ich mir im Grunde genommen gedacht. Es ist unglücklich, aber nicht das Ende der Welt. Man kann hoffen, dass Microsoft es als Funktion unter Verwendung des vorhandenen feinkörnigen Kennwortrichtliniensystems in zukünftigen Versionen des Betriebssystems hinzufügt.
Ryan Bolger