Ticket Kerberos, durata e disconnessione dal server
Successivamente ad una migrazione d Windows 2003R2 a Windows 2008 mi viene segnalato un problema abbastanza anomalo, ad un certo punto viene persa la connessione delle unità mappata, programmi che hanno i file aperti verso il server (doc, xls ecc…) devono essere terminati o richiedono il salvataggio in altro percorso.
Dalle verifiche emerge che tentando di ristabilire le connessioni verso il server è richiesta l’autenticazione, riavviando il client tutto torna normale. All’inizio quello che sembrava un problema sporadico mostra un proprio schema e cioè il problema si manifesta ad un intervallo di tempo ben preciso dall’ultimo login, la causa: scadenza del Ticket Kerbero rilasciato al momento del login
Un estratto da https://technet.microsoft.com/it-it/library/cc783708(WS.10).aspx che spiega brevemente il processo di rilascio del TGT
Il processo di autenticazione Kerberos V5 funziona come segue:
- L’utente che si trova in un sistema client ottiene l’autenticazione al KDC utilizzando una password o una smart card.
- Il servizio KDC rilascia al client un ticket di concessione ticket (TGT, Ticket-Granting Ticket). Tramite questo ticket il sistema client accede al servizio di concessione ticket (TGS, Ticket-Granting Service), che fa parte del meccanismo di autenticazione Kerberos V5 nel controller di dominio.
- Il servizio TGS rilascia quindi al client un ticket di servizio.
- Il client presenta questo ticket al servizio di rete richiesto. Con il tagliando di servizio viene verificata l’identità dell’utente al servizio e l’identità del servizio all’utente.
I servizi Kerberos V5 vengono installati in ciascun controller di dominio e il client Kerberos viene installato in ogni workstation e server.
La soluzione è decisamente più facile del troubleshooting, dalla Default Domain Policy:
Computer Configuration \ Policies \ Windows Settings \ Security Settings \ Account Policies \ Kerberos Policy
Modificare il valore di
Maximum lifetime for service ticket
Maximum lifetime for user ticket