Windows 进入锁定屏幕后,是否有办法阻止 Kerboros 缓存票证被删除。
首次登录 Windows 时,klist.exe 显示 2 个缓存票证。但是,在发生 Windows 锁屏事件后,klist.exe 显示 0 个缓存票证。
提前致谢。
【问题讨论】:
标签: java windows active-directory single-sign-on kerberos
这是设计使然。无法阻止 Kerberos 服务票证在屏幕锁定后被清除。一旦您再次访问受 Kerberos 保护的新资源,就会发生新的身份验证过程并会出现新的票证。了解 Kerberos 票证之间的区别很重要 - 有两种类型 - 票证授予票证 (TGT) 和服务票证 (ST)。您可以确保 Kerberos TGT 保留在客户端缓存中,并且在屏幕锁定后不会被清除如果您的计算机正在参与 Active Directory 域并且您所做的是称为组策略更改以更改行为(请参阅下面的注释)。如果您不是 Active Directory 管理员,则必须联系他们让他们为您执行此操作。要在屏幕锁定后保留 TGT,请打开组策略管理控制台编辑器,找到链接到计算机的 GPO,并将策略设置为不需要与域控制器联系以解锁计算机。这样做将确保机器保留缓存的 Kerberos TGT 以进行重新身份验证。即使您以这种方式配置组策略,为您的 Web 服务器发出的 Kerberos 服务票证也不会被保留。同样,在这种情况下,在解锁工作站后,只有 TGT 保留在机器 Kerberos 缓存中,不会保留任何服务票证(例如为网络资源签发的票证)。但是对你来说,这可以让 ST 更容易被请求,因为 TGT 不必重新请求。虽然您可以在应用程序服务器端尽可能多地尝试围绕此进行编程,但实际上无法从应用程序端控制客户端上的 Kerberos 整体安全行为。
这部分答案下面的所有内容都是针对后续评论所做的编辑。请避免对默认域控制器策略进行任何编辑,因为该策略仅适用于域控制器。请注意,每当我亲自在 Active Directory 域中进行新的组策略更改时,除非我非常熟悉特定设置,否则我喜欢创建一个全新的 GPO,根据我的设置更改命名制作,然后将其链接到计算机或用户对象所在的 OU。或者,如果您认为更改被认为是“安全的”并且不会对所有人产生负面影响,您也可以在域级别链接 GPO。
交互式登录:要缓存的先前登录次数(以防域控制器不可用):1 次登录
交互式登录:需要域控制器身份验证才能解锁工作站:已禁用
接下来,重新启动客户端工作站 2-3 次。从技术上讲,您可以运行命令 gpupdate /force 来执行此操作,但我发现对于某些设置,尤其是这个设置,客户端工作站不仅需要重新启动,有时还需要 2 次,甚至 3 次重新启动,由于另一个名为快速登录优化的 GPO 设置。无论如何,这个故事是另一个线程。
【讨论】: