8.2. 推奨 KDC 値

概要

このセクションでは、相互運用性と合理的なデフォルト動作を促進するための、様々な KDC 運用パラメータに関する推奨事項を提供します。

チケット有効期間

デフォルトチケット有効期間

• 推奨: 10-12 時間
• セキュリティと使いやすさのバランス
• ポリシーごとに設定可能であるべきです

最大チケット有効期間

• 推奨: 1 日
• 侵害されたチケットの露出を制限
• リスク評価に基づいて調整可能であるべきです

更新可能チケット有効期間

• 推奨: 1 週間
• 認証情報の保存なしで長時間実行プロセスを許可
• 利便性とセキュリティのバランス

クロックスキュー許容度

推奨値

• 5 分 (300 秒)
• 軽微なクロック同期の問題に対応
• 大きすぎてはいけません (リプレイウィンドウ)
• 設定可能でなければなりません

暗号化とチェックサム

アルゴリズムサポート

• 最新の暗号化アルゴリズムをサポート
• 弱いアルゴリズムを非推奨化
• 現在の暗号化ベストプラクティスに従う
• 詳細については RFC 3961、3962、4120 を参照

事前認証

推奨ポリシー

• ユーザープリンシパルに事前認証を要求
• オフライン辞書攻撃を防止
• PA-ENC-TIMESTAMP が広くサポートされています
• 追加の事前認証メカニズムを検討

アドレス制限

最新の考慮事項

• NAT/プロキシによりアドレス制限の有用性は低下
• デフォルトとしてアドレスなしチケットを検討
• ポリシーは設定可能であるべきです
• セキュリティニーズと展開の現実のバランス

クロスレルム

設定

• 信頼関係を明確に文書化
• 適切なトランジットポリシーを確立
• 階層的なレルム組織を検討
• トランジット検証を適切に実装

参考文献

完全な推奨事項については、RFC 4120 セクション 8.2 を参照してください。