我有一个 java 服务器和客户端应用程序。这些应用程序在 Windows 机器上运行。客户端使用 kerberos 身份验证登录服务器。它是使用 jgssapi 实现的。
首先,客户端从系统中检索存储的缓存 tgt 票证以从 kdc 生成令牌。问题是 - 在 Windows 中锁定用户会话(锁定屏幕或更改用户)后,系统中没有缓存的 tgt 票证(由 C:\Windows\System32\klist.exe 检查)。据我了解,我可以通过在计算机上注销/登录用户来获取它们。
这个问题发生在我的客户机器上。锁定后有空的缓存票列表。
它没有在我的办公室复制(使用 Windows 7 的客户端,win server 2008 上的活动目录服务器)。锁定后,我总是在机器上有新的 REGENERATED 缓存 tgt 票(不是锁定前的工作,而是解锁后再次生成)。没有为此行为设置特殊的 GPO(关于使用以前用户会话Kerboros 缓存票证在使用 Windows 锁定屏幕后删除的缓存票证的问题)。
所以我不明白为什么系统在解锁后不重新生成缓存的tgt?怎么做?
我在这里找到了类似的问题https://social.technet.microsoft.com/Forums/ie/en-US/be5ebc3b-d915-4acb-a9ae-67c61ee03b97/service-tickets-kerberos-purged-on-ctrlaltdel?forum= winserverDS&prof=required 答案之一是“首先看看你有什么 klist,然后锁定和解锁你的屏幕。如果你有连接到 DC,你将获得本地主机和 KDC 的服务票证和 TGT ,如果你没有连接,你将一无所有。”
与 AD 的连接成功。我可以ping通。我可以使用 AD-explorer 获取信息连接。还是与DC的连接不一样?
谢谢。