借助 MIT Kerberos,kadmin 实用程序支持创建具有明确最大票证有效期和续订有效期的主体(add_principal 的 -maxlife 和 -maxrenewlife 参数)这可能与域的默认票证生命周期和续订生命周期不同。因此,如果您的域的默认生命周期为 24 小时,续订生命周期为 7 天,则给定主体可能分别为 1 小时和 1 天。
我正在尝试弄清楚 Active Directory 的 Kerberos 实现是否支持相同的功能。我的直觉告诉我不支持,但除了无法在帐户上找到任何可能启用此功能的明显属性外,我很难明确证明这一点。
有人可以证实或否认我的直觉答案吗?
答案1
根据我的理解,不是。它就像密码策略一样 - 它是在域级别定义的。
http://technet.microsoft.com/en-us/library/cc757692(v=ws.10).aspx#w2k3tr_sepol_accou_set_hpjo
帐户策略下的策略设置在域级别实施。
细粒度密码策略不能用于此,因为它们不包含 Kerberos 设置。
http://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx
PSO 具有可以在默认域策略中定义的所有设置的属性(Kerberos 设置除外)。
很遗憾,看来你运气不佳。