ccna90

پالیسی های پروتکل Kerberos

 این پالیسی ها در مسیر ذیل قرار دارند:

Computer configuration/policies/windows settings/account policy/Kerberos policy

 

Kerberos blog

  • Enforce user logon restrictions : این پالیسی تعیین میکند که KDC ( مرکز توزیع کلید) هر درخواستی برای صدور Service ticket را ترتیب اثر داده و تیکت را صادر کند. ( پیشفرض: فعال)
  • Maximum lifetime for service ticket : میدانیم که هر کاربر در زمان لاگین کردن به یک کامپیوتر در شبکه، توسط کربراس احراز هویت میشود و در صورت معتبر بودن، KDC یک تیکت به نام TGT برای یوزر صادر میکند. حال چهت استفاده از یک سرویس، این بار درخواست Service ticket می دهد. هنگامی که عمر این تیکت خاتمه یافت، چنانچه کلاینت دوباره بخواهد از آن سرویس استفاده کند، سرور ارائه کننده سرویس فوق یک پیغام خطا صادر میکند. در نتیجه باید مکانیزم صدور Service ticket از اول تکرار شود. این پالیسی حداکثر زمان معتبر بودن یک Service ticket برای استفاده از یک سرویس را مشخص میکند. این زمان باید از ده دقیقه بیشتر باشد و نیز باید کمتر یا مساوی زمان عمر یک TGT باشد.  اگر مقدار این پالیسی را صفر تعیین کنیم، Service ticket هیچگاه منقضی نمیشود. (پیشفرض: ده ساعت)
  • Maximum lifetime for user ticket : مشخص کننده حداکثر زمان اعتبار یک user ticket است. ( پیشفرض 600 دقیقه). منظور از user ticket همان TGT است.

جهت شرکت در دوره های آموزشی MCSA و MCSE، علاقه مندان میتوانند به صفحه آموزش دوره های تخصصی شبکه های مایکروسافت رجوع کنند.

  • Maximum lifetime for user ticket renewal : مشخص میکند دوره ای از زمان که KDC وضعیت TGT صادر شده از طرف خود را چک میکند و در صورت لزوم ، مجددا TGT را صادر ( در واقع تمدید) میکند. ( پیشفرض: 7 روز). یا به بیانی دیگر حداکثر مدت زمانی است که کاربری میتواند درخواست تمدید مدت اعتبار TGT خود را ارائه کند.
  • Maximum tolerance for computer clock synchronization : حداکثر زمان تفاوت مجاز بین ساعت کلاینت درخواست کننده TGT و DC شبکه که خدمات KDC را انجام میدهد. جهت جلوگیری از حملات replay ، باید ساعت کلاینت و ساعت DC دامین، یکی باشند یا در یک حد مشخص با یکدیگر متفاوت باشند تا بتوانند به سرعت با یکدیگر سینک شوند. این پالیسی، همین تولرانس مجاز را مشخص میکند. اگر تفاوت ساعت کلاینت و ساعت DC بیشتر از این حد مجاز باشد، عملیات صدور TGT یا نیز Service Ticket صورت نخواهد گرفت و درخواست های مربوطه دراپ خواهند شد. ( پیشفرض: 5 دقیقه) نکته مهم اینست که در پلتفرم های ویستا، این پالیسی دائمی نیست. یعنی اگر شما این زمان را به مثلا 8 دقیقه تغییر دهید، چنانچه پلتفرم ویستا ریستارت شود، دوباره این مقدار به حد پیش فرض ریست خواهد شد.

 آکادمی تخصصی شبکه و امنیت ITperfection

جهت دسترسی به اطلاعات بیشتر میتوانید به صفحه بلاگ آیتی پرفکشن مراجعه کنید.

آیتی پرفکشن تهیه کننده و ارایه دهنده دوره های تخصصی شبکه و امنیت میباشد. از دانشجویان عزیز دعوت میشود جهت شرکت در دوره های آموزشی شبکه و امنیت به صفحه دوره های آموزشی مراجعه کنند.

جهت شرکت در دوره های آموزشی سیسکو به صفحه دوره سیسکو مراجعه کنید.

جهت شرکت در دوره های آموزشی MCSA و MCSE، علاقه مندان میتوانند به صفحه آموزش دوره های تخصصی شبکه های مایکروسافت رجوع کنند.

 

0 پاسخ به "پالیسی های پروتکل Kerberos"

    ارسال یک پیغام

    نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

    2 + 4 =

    کپی رایت آکادمی ITperfection.