8.2. Recommended KDC Values (Empfohlene KDC-Werte)

Overview (Überblick)

Dieser Abschnitt enthält Empfehlungen zu verschiedenen Betriebsparametern des KDC (Key Distribution Center, Schlüsselverteilungszentrum), um Interoperabilität und sinnvolles Standardverhalten zu fördern.

Ticket Lifetimes (Ticket-Lebensdauern)

Default Ticket Lifetime (Standard-Lebensdauer von Tickets)

Empfohlen: 10–12 Stunden
Ausgleich zwischen Sicherheit und Benutzerfreundlichkeit
Sollte pro Richtlinie konfigurierbar sein

Maximum Ticket Lifetime (Maximale Ticket-Lebensdauer)

Empfohlen: 1 Tag
Begrenzt das Risiko kompromittierter Tickets
Sollte anhand der Risikobewertung anpassbar sein

Renewable Ticket Lifetime (Lebensdauer erneuerbarer Tickets)

Empfohlen: 1 Woche
Ermöglicht lang laufende Prozesse ohne dauerhafte Speicherung von Anmeldedaten
Ausgleich zwischen Komfort und Sicherheit

Clock Skew Tolerance (Toleranz für Uhrenabweichung)

Recommended Value (Empfohlener Wert)

5 Minuten (300 Sekunden)
Berücksichtigt geringfügige Probleme bei der Uhrensynchronisation
Sollte nicht zu groß sein (Replay-Fenster)
Muss konfigurierbar sein

Encryption and Checksum (Verschlüsselung und Prüfsumme)

Algorithm Support (Algorithmusunterstützung)

Moderne Verschlüsselungsalgorithmen unterstützen
Schwache Algorithmen als veraltet kennzeichnen und vermeiden
Aktuelle kryptografische Best Practices befolgen
Einzelheiten siehe RFC 3961, 3962, 4120

Pre-Authentication (Vorab-Authentifizierung)

Recommended Policies (Empfohlene Richtlinien)

Pre-Authentifizierung für Benutzer-Principals verlangen
Verhindert Offline-Wörterbuchangriffe
PA-ENC-TIMESTAMP ist weit verbreitet
Zusätzliche Pre-Auth-Mechanismen in Betracht ziehen

Address Restrictions (Adressbeschränkungen)

Modern Considerations (Moderne Aspekte)

Adressbeschränkungen sind mit NAT/Proxies weniger nützlich
Adresslose Tickets als Standard erwägen
Richtlinie sollte konfigurierbar sein
Sicherheitsanforderungen und Deployments-Realität abwägen

Cross-Realm (Realm-übergreifend)

Configuration (Konfiguration)

Vertrauensbeziehungen klar dokumentieren
Angemessene transited-Richtlinien festlegen
Hierarchische Realm-Organisation erwägen
Transit-Verifikation angemessen implementieren

Reference (Referenz)

Vollständige Empfehlungen siehe RFC 4120 Abschnitt 8.2.

Overview (Überblick)​

Ticket Lifetimes (Ticket-Lebensdauern)​

Default Ticket Lifetime (Standard-Lebensdauer von Tickets)​

Maximum Ticket Lifetime (Maximale Ticket-Lebensdauer)​

Renewable Ticket Lifetime (Lebensdauer erneuerbarer Tickets)​

Clock Skew Tolerance (Toleranz für Uhrenabweichung)​

Recommended Value (Empfohlener Wert)​

Encryption and Checksum (Verschlüsselung und Prüfsumme)​

Algorithm Support (Algorithmusunterstützung)​

Pre-Authentication (Vorab-Authentifizierung)​

Recommended Policies (Empfohlene Richtlinien)​

Address Restrictions (Adressbeschränkungen)​

Modern Considerations (Moderne Aspekte)​

Cross-Realm (Realm-übergreifend)​

Configuration (Konfiguration)​

Reference (Referenz)​