"KDC の厳密な検証を必須にする"(Windows グループポリシー)に関して説明します。
スポンサード リンク
カテゴリ:
Kerberos設定値:
KDC の厳密な検証を必須にするパス:
コンピュータの構成\管理用テンプレート\\システム\Kerberosグループポリシエディタの説明:
このポリシー設定は、スマート カードとシステム証明書によるログオンのための KDC 証明書検証時の Kerberos クライアントの動作を制御します。このポリシー設定を有効にした場合、KDC の X.509 証明書に拡張キー使用法 (EKU) 拡張子の KDC キー用オブジェクト識別子が含まれていること、および KDC の X.509 証明書にドメインの DNS 名と一致する dNSName subjectAltName (SAN) 拡張子が含まれていることが、Kerberos クライアントに必要です。コンピューターがドメインに参加している場合は、NTAuth ストアの証明機関 (CA) によって KDC の X.509 証明書に署名が付加されていることが、Kerberos クライアントに必要です。コンピューターがドメインに参加していない場合、Kerberos クライアントにより、KDC の X.509 証明書のパス検証にスマート カードのルート CA 証明書が使用されることが許可されます。このポリシー設定を無効にした場合、または構成しなかった場合、Kerberos クライアントに必要になるのは、どのサーバーに対しても発行できる EKU 拡張子のサーバー認証用オブジェクト識別子が KDC 証明書に含まれていることのみです。
スポンサード リンク