Política do Kerberos

A política de tíquete Kerberos é definida no nível do domínio e implementada pelo KDC ( Centro de Distribuição de Chaves ) do domínio. A política Kerberos é armazenada no Active Directory como um subconjunto dos atributos da política de segurança de domínio. Por padrão, as opções de política podem ser definidas apenas por membros do grupo Administradores de Domínio. A política de domínio inclui opções que:

• Suporte a tíquetes postados
• Suporte à delegação restrita (somente Windows Server 2003)
• Tíquetes de suporte que podem ser encaminhados
• Dar suporte a tíquetes renováveis
• Definir a idade máxima do tíquete
• Definir a idade máxima de renovação
• Definir a idade máxima do tíquete proxy
• Faça logoff forçado dos usuários quando os tíquetes expirarem

Com a delegação restrita, um computador pode ser definido para permitir o encaminhamento de credenciais apenas para uma lista específica de serviços. Esses serviços devem residir no mesmo domínio que o computador que encaminha as credenciais. Sob delegação restrita, os tíquetes não são mais enviados do cliente para o servidor. O computador do servidor cria tíquetes de serviço para encaminhar conforme necessário de informações usadas para autenticar o cliente.

Embora a política Kerberos para um domínio possa permitir a autenticação delegada permitindo que os tíquetes sejam encaminhados, esse aspecto da política não precisa se aplicar a todos os usuários ou a todos os computadores. Um atributo de uma conta de usuário individual pode ser definido para desabilitar o encaminhamento das credenciais desse usuário por qualquer servidor. Um atributo da conta de um computador individual pode ser definido para desabilitar o encaminhamento de credenciais de qualquer usuário. Em ambos os casos, a delegação pode ser desabilitada criando uma política de grupo a ser aplicada a todos os usuários ou a todos os computadores em uma unidade organizacional do Active Directory.

Windows XP/2000: Não há suporte para delegação restrita.