我有一个已加入 Active Directory 服务器的 Windows 客户端。 我使用域用户 ID 和密码登录。登录时我会获得一张 Kerberos 票证,其有效期为 10 小时。
我使用 MS 远程桌面连接到 Windows 客户端。我观察到,当我在 RDP 上断开连接然后重新连接时,我看到我打开的任何应用程序或终端仍然打开,这意味着,这只是断开连接,而不是退出。但当我执行 klist 时,我发现票证有效期从我重新连接时间起延长至 10 小时。只是想了解为什么票证寿命会在重新连接时重置。我没有遇到问题,只是想理解这一观察结果。这就是它的工作原理吗?感谢您提供任何信息。
我的印象是只有注销和登录才能获得新的 Kerberos 票证。
Kerberos 票证可以可更新,即就像您可以使用 TGT 票证来获取服务票证一样,您也可以使用当前的 TGT 来获取具有另外 10 小时生命周期的新鲜 TGT。 Windows 将尽可能长时间地自动续订您的 krbtgt 票证(通常总共 7 天)。
签到并不是您获得门票的唯一时间;当您锁定和解锁会话时也会发生这种情况,因为您在解锁时提供了密码。例如,如果您的会话持续时间足够长,以至于 TGT 永久过期(即达到其“最大更新时间”),我相信 Windows 会要求您锁定/解锁新票证,而不需要您完全注销。
与其他使用 Kerberos 的协议(仅发送票证)不同,RDP 故意将您的真实密码发送到远程桌面服务器,以便服务器可以将连接视为完全登录 - 或会话解锁 - 并为您获取新票证如果需要的话。