8.2. Recommended KDC Values (推荐的 KDC 取值)

Overview (概述)

本节就各类 KDC (Key Distribution Center, 密钥分发中心) 运行参数给出建议, 以促进互操作性与合理的默认行为。

Ticket Lifetimes (票据生存期)

Default Ticket Lifetime (默认票据生存期)

建议: 10–12 小时
在安全性与可用性之间取得平衡
宜按策略可配置

Maximum Ticket Lifetime (最大票据生存期)

建议: 1 天
限制已泄露票据暴露窗口
宜根据风险评估可调

Renewable Ticket Lifetime (可续期票据生存期)

建议: 1 周
允许长时间运行的进程无需长期存储凭证
在便利性与安全性之间取得平衡

Clock Skew Tolerance (时钟偏移容限)

Recommended Value (建议取值)

5 分钟 (300 秒)
容纳轻微的时钟同步问题
不宜过大 (重放窗口)
必须 (MUST) 可配置

Encryption and Checksum (加密与校验和)

Algorithm Support (算法支持)

支持现代加密算法
弃用弱算法
遵循当前密码学最佳实践
细节见 RFC 3961, 3962, 4120

Pre-Authentication (预认证)

Recommended Policies (建议策略)

对用户主体 (user principals) 要求预认证
有助于防止离线字典攻击
PA-ENC-TIMESTAMP 得到广泛支持
可考虑额外的预认证机制

Address Restrictions (地址限制)

Modern Considerations (现代环境下的考虑)

在 NAT/代理环境下地址限制用处下降
可考虑默认使用无地址 (addressless) 票据
策略宜可配置
在安全需求与部署现实之间权衡

Cross-Realm (跨域)

Configuration (配置)

清晰记录信任关系
建立适当的 transited 策略
考虑层次化域组织结构
适当实现过境 (transit) 校验

Reference (参考)

完整建议见 RFC 4120 Section 8.2。

8.2. Recommended KDC Values (推荐的 KDC 取值)​

Overview (概述)​

Ticket Lifetimes (票据生存期)​

Default Ticket Lifetime (默认票据生存期)​

Maximum Ticket Lifetime (最大票据生存期)​

Renewable Ticket Lifetime (可续期票据生存期)​

Clock Skew Tolerance (时钟偏移容限)​

Recommended Value (建议取值)​

Encryption and Checksum (加密与校验和)​

Algorithm Support (算法支持)​

Pre-Authentication (预认证)​

Recommended Policies (建议策略)​

Address Restrictions (地址限制)​

Modern Considerations (现代环境下的考虑)​

Cross-Realm (跨域)​

Configuration (配置)​

Reference (参考)​

8.2. Recommended KDC Values (推荐的 KDC 取值)

Overview (概述)

Ticket Lifetimes (票据生存期)

Default Ticket Lifetime (默认票据生存期)

Maximum Ticket Lifetime (最大票据生存期)

Renewable Ticket Lifetime (可续期票据生存期)

Clock Skew Tolerance (时钟偏移容限)

Recommended Value (建议取值)

Encryption and Checksum (加密与校验和)

Algorithm Support (算法支持)

Pre-Authentication (预认证)

Recommended Policies (建议策略)

Address Restrictions (地址限制)

Modern Considerations (现代环境下的考虑)

Cross-Realm (跨域)

Configuration (配置)

Reference (参考)