Windows 2000 ve sonrası Active Directory kimlik doğrulama protokolü olarak kerberos’u kullanır. Bir istemci Active directory’de kimlik doğrulamaya çalıştığı zaman Kerberos policy kullanır.
Kerberos karşılık kimlik doğrulama sağlar. Karşılıklı kimlik doğrulama sayesinde network’e yalnızca yetkili istemcinin erişmeye çalışmasını değil, aynı zamanda istemcinin isteğine yetkili sunucunun cevap vermesini de sağlar.
Kerberos’un kullandığı üç temel bileşeni vardır bunlar
1. Kimlik doğrulaması yapmak isteyen ya da herhangi bir servisten yararlanmak isteyen client
2. Client’in talep ettiği servisi sağlayan server.
3. Hem client hem de server tarafında güvenilir bir iletişim kurulmasını sağlayan KDC
Şimdi Default Domain Policy deki Kerberos ayarlarına bakalım.
Default Domain policy editlenerek Kerberos policy ayarları değiştirilebilir.
Computer Configuration\Windows Settings\Security Settings\Account Policies\Kerberos Policy kısmındaki policy ayarlarımızı inceleyelim.
Resim-1
Enforce user logon restrictions: Default olarak enable olan bu özellik, KDC servisinin kendisine talep gönderen her kullanıcının domain hesabının geçerliliğini kontrol etmesini sağlar. Aynı zamanda kullanıcının ulaşmak istediği bilgisayar üzerinde erişim hakkı olup olmadığınıda kontrol eder. Logon sürecini uzatan bu özelliğin enable olarak ayarlanması tavsiye edilir.
Maximum lifetime for service ticket: KDC tarafından kullanıcının erişmek istediği kaynak için sağlanan ‘session ticket’ın geçerlilik süresini temsil eder.10 saat olarak ayarlanmıştır. Bu sürenin user ticket geçerlilik süresinden uzun olmaması gerekir.
Maximum lifetime for user ticket: Client bilgisayara kullanıcı için KDC tarafından sağlanan TGT’nin geçerlilik süresini temsil eder. Kullanıcı burada belirtilen süre boyunca domain kaynaklarına erişim için KDC’de session ticket talabinde bulunabilir.Varsayılan değeri 10 saat olarak ayarlanmıştır.
Maximum lifetime for user ticket renewal: KDC servisinin sağladığı TGT’nin hangi periyotta yenileneceğini temsil eder.Default değer 7 gün olarak ayarlanmıştır.Bu değerin daha kısa olması güvenliği arttıran bir etken olmasına rağmen KDC üzerindeki yükünü de arttırmış olur.
Maximum tolerance for computer clock synchronization: domain conroller– client hemde client – server arasındaki iletişimin güvenliği açısından kullanılan bütün session ticket ,session key (SA) lerle birlikte timestamp değeride taşınır.Talebin olduğu zamanı belli eden timestamp değerlerinin tutarlı olması için domain bazında saat ayarlarının aynı olması gerekir.Burada varsayılan değer ne kadar saat farklılığının tölere edilebileceğini açıklar.Beş dakika olan varsayılan değer düşürülürse başarısız kimlik doğrulama sayısı artacaktır.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
http://technet.microsoft.com/tr-tr/library/cc728909.aspx