Compartir a través de

Directiva Kerberos

  • Artículo

La directiva de vales de Kerberos se define en el nivel de dominio e implementa el Centro de distribución de claves (KDC) del dominio. La directiva kerberos se almacena en Active Directory como un subconjunto de los atributos de la directiva de seguridad de dominio. De forma predeterminada, solo los miembros del grupo Administradores de dominio pueden establecer las opciones de directiva. La directiva de dominio incluye opciones que:

  • Soporte técnico de vales postdados
  • Compatibilidad con la delegación restringida (solo Windows Server 2003)
  • Incidencias de soporte técnico que se pueden reenviar
  • Soporte técnico de vales renovables
  • Establecer la antigüedad máxima del vale
  • Establecer la antigüedad máxima de renovación
  • Establecer la antigüedad máxima del vale de proxy
  • Cierre forzado de la sesión de los usuarios cuando expiren los vales

Con la delegación restringida, se puede establecer un equipo para permitir el reenvío de credenciales solo a una lista específica de servicios. Esos servicios deben residir en el mismo dominio que el equipo que reenvía las credenciales. En delegación restringida, los vales ya no se envían desde el cliente al servidor. El equipo servidor crea vales de servicio para reenviar según sea necesario a partir de la información utilizada para autenticar al cliente.

Aunque la directiva kerberos de un dominio puede permitir la autenticación delegada al permitir reenviar vales, ese aspecto de la directiva no se debe aplicar a todos los usuarios o a todos los equipos. Se puede establecer un atributo de una cuenta de usuario individual para deshabilitar el reenvío de las credenciales de ese usuario por cualquier servidor. Se puede establecer un atributo de la cuenta de un equipo individual para deshabilitar el reenvío de credenciales de cualquier usuario. En ambos casos, la delegación se puede deshabilitar mediante la creación de una directiva de grupo para aplicarla a todos los usuarios o a todos los equipos de una unidad organizativa de Active Directory.

Windows XP/2000: No se admite la delegación restringida.