Сброс пароля учетной записи компьютера на сервере и недействительные билеты Kerberos на клиенте
Согласно этой статье TechNet https://blogs.technet.microsoft.com/askds/2009/02/15/machine-account-password-process-2/ Учетные записи компьютеров ( Computer Objects) сбрасывают внутренние пароли каждые 30 дней.
Предположим, что на этом сервере работает IIS с единым входом Kerberos, поэтому он имеет SPN HTTP / сервер.domain.com и клиент имеет кешированный билет Kerberos, который он использует для доступа к ресурсам на этом сервере.
Если учетная запись компьютера для пароля сервера IIS сбрасывается каждые 30 дней, это приведет к аннулированию кешированного билета Kerberos на клиенте и запретит доступ до тех пор, пока билет не истечет или не будет получен очищается вручную на клиенте с помощью "очистки klist".
Есть ли обходной путь? Может ли сервер IIS заставить клиента продлить билет Kerberos?
Сервер IIS не сможет расшифровать билет, в результате чего будет сгенерирован закодированный ответ, содержащий код ошибки, указывающий, что ключ неверен. Это укажет клиенту, что ему необходимо выполнить очистку и повторить попытку.
Редко бывает ситуация, когда очистка klist действительно необходима.
Нет. Билеты Kerberos не проверяются по паролю учетной записи. По сути, это причина создания Kerberos, поэтому учетные данные не нужно проверять при каждом запросе доступа. Билеты Kerberos можно создавать и использовать даже для несуществующих учетных записей.