У меня есть Java-сервер и клиентские приложения. Эти приложения работают на машинах Windows. Вход в систему клиента на сервере с использованием аутентификации Kerberos. Это реализовано с использованием jgssapi.
Сначала клиент извлекает сохраненный кешированный билет tgt из системы, чтобы сгенерировать токен из kdc.
Проблема в том, что после блокировки пользовательского сеанса в Windows (блокировки экрана или смены пользователя) в системе нет кэшированных билетов tgt (проверено C: \ Windows \ System32 \ klist.exe).
И, насколько я понимаю, я просто могу получить их, выйдя из системы / войдя в систему пользователя на компьютере.
Эта проблема случилась со мной на клиентских машинах. После блокировки появляется пустой список кэшированных билетов.
Это не воспроизводится в моем офисе (клиенты с Windows 7, активный сервер каталогов на Win Server 2008). После блокировки у меня всегда есть NEW REGENERATED кэшированные tgt тикеты на машине (не с работы до блокировки, но они были сгенерированы снова после разблокировки). Для этого поведения не установлен специальный объект групповой политики (вопрос об использовании билетов кэширования из предыдущего сеанса пользователя Кэшированный билет Kerboros удален после использования экрана блокировки Windows ).
Так что я не понимаю, почему система не восстанавливает кэшированный TGT после разблокировки? Как это сделать?
Я нашел похожий вопрос здесь https://social.technet.microsoft.com/Forums/ie/en-US/be5ebc3b-d915-4acb-a9ae-67c61ee03b97/service-tickets-kerberos-purged-on-ctrlaltdel?forum=winserverDS&prof=required
Один из ответов
«Прежде всего взгляните на то, что у вас есть с помощью klist, а затем заблокируйте и разблокируйте экран. Если у вас есть connectino к DC, вы получите сервисный билет на ваш локальный хост, а также на KDC и TGT, если у вас нет связи у тебя ничего не будет. "
Соединение с AD успешно. Я могу пинговать это. Я могу получить информацию о подключении с помощью AD-explorer. Или подключение к DC не совпадает?
Спасибо.