Kerberos 정책

Kerberos 티켓 정책은 도메인 수준에서 정의되고 도메인의 KDC( 키 배포 센터 )에 의해 구현됩니다. Kerberos 정책은 도메인 보안 정책 특성의 하위 집합으로 Active Directory에 저장됩니다. 기본적으로 정책 옵션은 도메인 관리자 그룹의 구성원만 설정할 수 있습니다. 도메인 정책에는 다음 옵션이 포함됩니다.

• 게시된 티켓 지원
• 제한된 위임 지원(Windows Server 2003에만 해당)
• 전달할 수 있는 지원 티켓
• 재생 가능 티켓 지원
• 최대 티켓 기간 설정
• 최대 갱신 기간 설정
• 최대 프록시 티켓 사용 기간 설정
• 티켓이 만료되면 사용자를 강제로 로그오프합니다.

제한된 위임을 사용하면 특정 서비스 목록에만 자격 증명 전달을 허용하도록 컴퓨터를 설정할 수 있습니다. 이러한 서비스는 자격 증명을 전달하는 컴퓨터와 동일한 도메인에 있어야 합니다. 제한된 위임에서 티켓은 더 이상 클라이언트에서 서버로 전송되지 않습니다. 서버 컴퓨터는 클라이언트를 인증하는 데 사용되는 정보에서 필요에 따라 전달할 서비스 티켓을 만듭니다.

도메인에 대한 Kerberos 정책은 티켓을 전달하도록 허용하여 위임된 인증을 허용할 수 있지만 정책의 해당 측면이 모든 사용자 또는 모든 컴퓨터에 적용되지는 않습니다. 개별 사용자 계정의 특성을 설정하여 모든 서버에서 해당 사용자의 자격 증명 전달을 사용하지 않도록 설정할 수 있습니다. 개별 컴퓨터 계정의 특성을 설정하여 모든 사용자의 자격 증명 전달을 사용하지 않도록 설정할 수 있습니다. 두 경우 모두 Active Directory의 조직 구성 단위에 있는 모든 사용자 또는 모든 컴퓨터에 적용할 그룹 정책을 만들어 위임을 사용하지 않도록 설정할 수 있습니다.

Windows XP/2000: 제한된 위임은 지원되지 않습니다.