使用MIT Kerberos,kadmin实用程序支持创build具有明确的最大票证生命周期和更新生命周期的主体(add_principal的-maxlife和-maxrenewlife参数) ,这可能与领域的默认票证生命周期和更新生命周期不同。 因此,如果您的领域的默认使用期限为24小时,续约期限为7天,则给定的本金可能分别为1小时和1天。
我试图弄清楚Active Directory的Kerberos实现是否支持相同的事情。 我的直觉拒绝了,但我很难明确地certificate这一点,除非在帐户上找不到任何明显的属性来使这种能力成为可能。
任何人都可以确认或否认我的直觉答案?
根据我的阅读,没有。 这就像密码策略 – 它是在域级别定义的。
http://technet.microsoft.com/en-us/library/cc757692(v=ws.10).aspx#w2k3tr_sepol_accou_set_hpjo
帐户策略下的策略设置在域级别实施。
细粒度的密码策略不能用于此,因为它们不包括Kerberos设置。
http://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx
PSO具有可在“默认域策略”中定义的所有设置的属性(Kerberos设置除外)。
对不起,说,看来你运气不好。