Home > Active Directory, NetWorking, Sistemista@Work > Ticket Kerberos, durata e disconnessione dal server

Ticket Kerberos, durata e disconnessione dal server

23 Novembre 2011

Successivamente ad una migrazione d Windows 2003R2 a Windows 2008  mi viene segnalato un problema abbastanza anomalo, ad un certo punto viene persa la connessione delle unità mappata, programmi che hanno i file aperti verso il server (doc, xls ecc…) devono essere terminati o richiedono il salvataggio in altro percorso.

Dalle verifiche emerge che tentando di ristabilire le connessioni verso il server è richiesta l’autenticazione, riavviando il client tutto torna normale. All’inizio quello che sembrava un problema sporadico mostra un proprio schema e cioè il problema si manifesta ad un intervallo di tempo ben preciso dall’ultimo login, la causa: scadenza del Ticket Kerbero rilasciato al momento del login

Un estratto da https://technet.microsoft.com/it-it/library/cc783708(WS.10).aspx che spiega brevemente il processo di rilascio del TGT

Il processo di autenticazione Kerberos V5 funziona come segue:

    1. L’utente che si trova in un sistema client ottiene l’autenticazione al KDC utilizzando una password o una smart card.
    2. Il servizio KDC rilascia al client un ticket di concessione ticket (TGT, Ticket-Granting Ticket). Tramite questo ticket il sistema client accede al servizio di concessione ticket (TGS, Ticket-Granting Service), che fa parte del meccanismo di autenticazione Kerberos V5 nel controller di dominio.
    3. Il servizio TGS rilascia quindi al client un ticket di servizio.
    4. Il client presenta questo ticket al servizio di rete richiesto. Con il tagliando di servizio viene verificata l’identità dell’utente al servizio e l’identità del servizio all’utente.

I servizi Kerberos V5 vengono installati in ciascun controller di dominio e il client Kerberos viene installato in ogni workstation e server.

 

La soluzione è decisamente più facile del troubleshooting, dalla Default Domain Policy:

Computer Configuration \ Policies \ Windows Settings \ Security Settings \ Account Policies \ Kerberos Policy

Modificare il valore di

Maximum lifetime for service ticket

Maximum lifetime for user ticket

TGTlifetime

10.369 Visualizzazioni