小編給大家分享一下Kerberos策略的配置分析，相信大部分人都還不怎么了解，因此分享這篇文章給大家參考一下，希望大家閱讀完這篇文章后大有收獲，下面讓我們一起去了解一下吧！

創(chuàng)新互聯(lián)公司是一家專業(yè)提供阿瓦提企業(yè)網(wǎng)站建設(shè),專注與網(wǎng)站建設(shè)、網(wǎng)站設(shè)計(jì)、H5高端網(wǎng)站建設(shè)、小程序制作等業(yè)務(wù)。10年已為阿瓦提眾多企業(yè)、政府機(jī)構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專業(yè)網(wǎng)站制作公司優(yōu)惠進(jìn)行中。

Kerberos策略用于域用戶賬戶，用于確定與Kerberos相關(guān)的設(shè)置，例如票證的有效期限和強(qiáng)制執(zhí)行。但Kerberos策略只能應(yīng)用于域中的計(jì)算機(jī)中。要設(shè)置Kerberos策略，可在“默認(rèn)域安全設(shè)置”窗口中，依次選擇“Windows設(shè)置”→“安全設(shè)置”→“賬戶策略”→“Kerberos 策略”選項(xiàng)。

（1）服務(wù)票證最長壽命

該策略用來設(shè)置確定使用所授予的會話票證可訪問特定服務(wù)的最長時(shí)間（以分鐘為單位）。該設(shè)置必須大于10分鐘并且小于或等于用戶票證最長壽命設(shè)置。

如果客戶端請求服務(wù)器連接時(shí)出示的會話票證已過期，服務(wù)器將返回錯(cuò)誤消息?？蛻舳吮仨殢腒erberos V5密鑰分發(fā)中心（KDC）請求新的會話票證。然而一旦連接通過了身份驗(yàn)證，該會話票證是否仍然有效就無關(guān)緊要了。會話票證僅用于驗(yàn)證和服務(wù)器的新建連接。如果用于驗(yàn)證連接的會話票證在連接時(shí)過期，則當(dāng)前的操作不會中斷。

打開“服務(wù)票證最長壽命 屬性”對話框，選中“定義這個(gè)策略設(shè)置”復(fù)選框（如圖17-35所示），然后設(shè)置最長時(shí)間即可。其他幾個(gè)策略的操作方式與此相同。

  
圖17-35 “服務(wù)票證最長壽命 屬性”對話框

該策略用來設(shè)置確定KerberosV5所允許的客戶端時(shí)鐘和提供Kerberos身份驗(yàn)證的Windows Server 2003域控制器上的時(shí)間的最大差值（以分鐘為單位）。

為防止“輪番***”，KerberosV5在其協(xié)議定義中使用了時(shí)間戳。為使時(shí)間戳正常工作，客戶端和域控制器的時(shí)鐘應(yīng)盡可能地保持同步。換言之，應(yīng)該將這兩臺計(jì)算機(jī)設(shè)置成相同的時(shí)間和日期。因?yàn)閮膳_計(jì)算機(jī)的時(shí)鐘常常不同步，所以管理員可使用該策略來設(shè)置KerberosV5所能接受的客戶端時(shí)鐘和域控制器時(shí)鐘間的最大差值。如果客戶端時(shí)鐘和域控制器時(shí)鐘間的差值小于該策略中指定的最大時(shí)間差，那么在這兩臺計(jì)算機(jī)的會話中使用的任何時(shí)間戳都將被認(rèn)為是可信的。

該設(shè)置并不是永久性的。如果配置該設(shè)置后重新啟動計(jì)算機(jī)，那么該設(shè)置將被還原為默認(rèn)值。

（3）強(qiáng)制用戶登錄限制

該策略用來設(shè)置確定KerberosV5密鑰分發(fā)中心（KDC）是否要根據(jù)用戶賬戶的用戶權(quán)限來驗(yàn)證每一個(gè)會話票證請求。驗(yàn)證每一個(gè)會話票證請求是可選的，因?yàn)轭~外的步驟需要花費(fèi)時(shí)間，并可能降低服務(wù)的網(wǎng)絡(luò)訪問速度。

（4）用戶票證續(xù)訂最長壽命

該策略用來設(shè)置確定可以續(xù)訂用戶票證授予票證（TGT）的期限，以天為單位。

（5）用戶票證最長壽命

該策略用來設(shè)置確定用戶票證授予票證（TGT）的最長使用時(shí)間，以小時(shí)為單位。用戶TGT期滿后，必須請求新的或“續(xù)訂”現(xiàn)有的用戶票證。

補(bǔ)充：出現(xiàn)Kerberos續(xù)訂失敗，有可能是域賬戶委派管理失敗的原因。Kerberos續(xù)訂周期為１０小時(shí)，Kerberos 子系統(tǒng)需要發(fā)出請求，如果１周出現(xiàn)１－２次沒有問題，如果１天出現(xiàn)２次建議安裝Ｈｏｔｆｉｘ，或繼續(xù)調(diào)查。

以上是“Kerberos策略的配置分析”這篇文章的所有內(nèi)容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內(nèi)容對大家有所幫助，如果還想學(xué)習(xí)更多知識，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道！