Поскольку kerberos является методом протокола аутентификации по умолчанию, используемым в Active Directory, я бы сосредоточился на корректировке (если необходимо) методов шифрования, используемых для Kerberos.Начиная с Windows 2008 R2 active-directory , AES256-SHA1 является алгоритмом по умолчанию шифрование для Kerberos.Хотя в случае аутентификации SSPI Windows возможно использование протокола аутентификации ntlm , что крайне маловероятно сегодня в 2018 году.
Чтобы указать, какой метод аутентификации и шифрования вы используете, иесли вы используете Windows 10, введите в командной строке: klist .Выходные данные покажут подключенный ресурс и используемый метод шифрования.Если вы подключились через SSO к сетевому ресурсу и не видите соответствующий билет Kerberos в выводе klist, это означает, что использовался NTLM.Используйте средство захвата сети, например Wireshark, чтобы подтвердить это.
Чтобы настроить политику Kerberos для использования определенного алгоритма шифрование , выполните следующие действия:
- Откройтеконсоль управления групповой политикой (GPMC) и измените политику домена по умолчанию (предварительно сделав ее резервную копию).
- Перейдите в следующее расположение: Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ ЛокальныеПолитики \ Параметры безопасности
- Нажмите, чтобы выбрать Сетевая безопасность: настройка типов шифрования, разрешенных для параметра Kerberos .
- Нажмите, чтобы выбрать Определить эти параметры политики и выбратьнеобходимые флажки для типов шифрования.
- Нажмите OK.Закройте из консоли управления групповыми политиками.
Ссылка: Сетевая безопасность: настройка типов шифрования, разрешенных только для Kerberos Win7 * .Примечание. В статье говорится только о Win7, но она применима и к Windows 8 и Windows 10.
Примечание. Поскольку вы сказали, что не используете проверку подлинности с помощью сертификата, такие вопросы, как TLS, здесь не применимы.