Пароль учетной записи компьютера Сбрасывает на сервере и недействительные билеты Kerberos на клиенте
Согласно этой статье TechNet https://blogs.technet.microsoft.com/askds/2009/02/15/machine-account-password-process-2/ Учетные записи компьютеров (объекты компьютеров) сбрасывают внутренние пароли каждые 30 дней.
Предположим, что на этом сервере запущен IIS с Kerberos SSO, поэтому у него есть SPN HTTP/server.domain.com, а клиент кэшировал билет Kerberos, используемый для доступа к ресурсам на этом сервере.
Если учетная запись компьютера для пароля IIS-сервера будет сбрасываться каждые 30 дней - будет ли он аннулировать кэшированный билет Kerberos на клиенте и запретит доступ до истечения срока действия билета или его очистки вручную на клиенте с помощью "очистки klist".
Есть ли обходной путь для этого? Может ли сервер IIS заставить клиента обновить билет Kerberos?
2 ответа
Сервер IIS не сможет расшифровать тикет, который сгенерирует закодированный ответ, содержащий код ошибки, указывающий, что ключ неверен. Это укажет клиенту, что он должен очистить и повторить попытку.
Там редко бывает ситуация, когда klist purge на самом деле необходимо.
Нет. Билеты Kerberos не проверяются по паролю учетной записи. По сути, это причина, по которой был создан Kerberos, поэтому учетные данные не нужно проверять при каждом запросе доступа. Билеты Kerberos можно даже создавать и использовать для несуществующих учетных записей.