Configuración de Kerberos Opciones de configuración del protocolo de autenticación Kerberos. Kerberos Usar orden de búsqueda en bosques Esta configuración de directiva define la lista de bosques de confianza en los que el cliente Kerberos realiza una búsqueda al intentar resolver nombres principales de servicio (SPN) que constan de dos partes. Si habilita esta configuración de directiva, el cliente Kerberos buscará en los bosques de la lista si no puede resolver un SPN de dos partes. Si encuentra una coincidencia, el cliente Kerberos solicitará un vale de referencia al dominio adecuado. Si deshabilita o no define esta configuración de directiva, el cliente Kerberos no buscará en los bosques de la lista para resolver el SPN. Si el cliente Kerberos no puede resolver el SPN porque no encuentra el nombre, se puede usar la autenticación NTLM. Definir asignaciones de nombres de host al dominio kerberos Esta configuración de directiva le permite especificar los nombres de host DNS y los sufijos DNS que se asignan a un dominio kerberos. Si habilita esta configuración de directiva, puede ver y cambiar la lista de nombres de host DNS y sufijos DNS asignados a un dominio kerberos definida por la directiva de grupo. Para ver la lista de asignaciones, habilite la configuración de directiva y haga clic en el botón Mostrar. Para agregar una asignación, habilite la configuración de directiva, observe la sintaxis y haga clic en el botón Mostrar. En el cuadro de diálogo Mostrar contenido, en la columna Nombre de valor, escriba un nombre de dominio kerberos. En la columna Valor, escriba la lista de nombres de host DNS y sufijos DNS con el formato de sintaxis adecuado. Para quitar una asignación de la lista, haga clic en la entrada de la asignación que desea quitar y, después, presione la tecla Supr. Para editar una asignación, quite la entrada actual de la lista y agregue una nueva con parámetros diferentes. Si deshabilita esta configuración de directiva, se eliminará la lista de asignaciones de nombres de host al dominio kerberos definida por la directiva de grupo. Si no establece esta configuración de directiva, el sistema usará las asignaciones de nombres de host al dominio kerberos definidas en el Registro local en el caso de que existan. Definir configuración de dominios kerberos V5 interoperables Esta configuración de directiva configura el cliente Kerberos para que se pueda autenticar con dominios kerberos V5 interoperables, según lo definido por esta configuración de directiva. Si habilita esta configuración de directiva, puede ver y cambiar la lista de dominios kerberos V5 interoperables y su configuración. Para ver la lista de dominios kerberos V5 interoperables, habilite la configuración de directiva y haga clic en el botón Mostrar. Para agregar un dominio kerberos V5 interoperable, habilite la configuración de directiva, observe la sintaxis y haga clic en el botón Mostrar. En el cuadro de diálogo Mostrar contenido, en la columna Nombre de valor, escriba el nombre del dominio kerberos V5 interoperable. En la columna Valor, escriba las marcas de dominio kerberos y nombres de host de los KDC host con el formato de sintaxis adecuado. Para quitar de la lista una entrada de valor o nombre de valor de dominio kerberos V5 interoperable, haga clic en la entrada y, después, presione la tecla Supr. Para editar una asignación, quite la entrada actual de la lista y agregue una nueva con parámetros diferentes. Si deshabilita esta configuración de directiva, se eliminará la configuración de los dominios kerberos V5 interoperables definida en la directiva de grupo. Si no establece esta configuración de directiva, el sistema usará la configuración de los dominios kerberos V5 interoperables definida en el Registro local en el caso de que exista. Requerir validación KDC estricta Esta configuración de directiva controla el comportamiento del cliente Kerberos al validar el certificado KDC. Si habilita esta configuración de directiva, el cliente Kerberos requiere que el certificado X.509 de KDC contenga el identificador del objeto de propósito de la clave KDC en las extensiones de Uso mejorado de clave (EKU), y que el certificado X.509 de KDC contenga una extensión dNSName subjectAltName (SAN) que coincida con el nombre DNS del dominio. Si el equipo está unido a un dominio, el cliente Kerberos requiere que el certificado X.509 de KDC esté firmado por una entidad de certificación (CA) en el almacén NTAUTH. Si el equipo no está unido a un dominio, el cliente Kerberos permite usar el certificado de CA raíz de la tarjeta inteligente en la validación de ruta del certificado X.509 de KDC. Si deshabilita o no establece esta configuración de directiva, el cliente Kerberos requerirá solo que el certificado KDC contenga el identificador del objeto de propósito de autenticación de servidor en las extensiones EKU. Requerir coincidencia de SPN de destino estricta en llamadas a procedimiento remoto Cuando un aplicación intenta realizar una llamada a procedimiento remoto (RPC) en este servidor con un valor NULL de nombre principal de servicio (SPN), los equipos que ejecutan Windows 7 intentarán usar Kerberos mediante la generación de un SPN. Esta configuración de directiva le permite configurar este servidor de forma que Kerberos pueda descifrar un vale que contenga el SPN generado por el sistema. Si habilita esta configuración de directiva, solo se permitirá aceptar estas conexiones a los servicios que se ejecuten como LocalSystem o NetworkService. Es posible que los servicios que se ejecuten con identidades diferentes de LocalSystem o NetworkService no puedan autenticarse. Si deshabilita o no define esta configuración de directiva, se permitirá que todos los servicios acepten conexiones entrantes con el SPN generado por el sistema. Definir asignaciones de nombres de host al dominio kerberos: Sintaxis: Escriba el nombre del dominio kerberos en el campo Nombre de valor. Escriba los nombres de host y los sufijos DNS que desea asignar al dominio kerberos en el campo Valor. Para agregar varios nombres, separe las entradas con ";". Nota: para especificar un sufijo DNS, escriba un punto ('.') antes de la entrada. En el caso de las entradas de nombres de host, no especifique el punto ('.') inicial. Ejemplo: Nombre de valor: MICROSOFT.COM Valor: .microsoft.com; .ms.com; equipo1.fabrikam.com; En el ejemplo anterior. Todas las entidades de seguridad con el sufijo DNS de *.microsoft.com o *.ms.com se asignarán al dominio kerberos MICROSOFT.COM. Asimismo, el nombre de host equipo1.fabrikam.com también se asignará al dominio kerberos MICROSOFT.COM. Definir configuración de dominios kerberos V5 interoperables: Sintaxis: Escriba el nombre del dominio kerberos V5 interoperable en el campo Nombre de valor. Escriba las marcas del dominio kerberos y los nombres de host de los KDC en el campo Valor. Escriba las marcas del dominio kerberos entre las siguientes etiquetas <f> </f>. Escriba la lista de KDC entre las etiquetas <k> </k> Para agregar varios nombres de KDC, separe las entradas con un punto y coma (";"). Ejemplo: Nombre de valor: PRUEBA.COM Valor: <f>0x00000004</f><k>kdc1.prueba.com; kdc2.prueba.com</k> Otro ejemplo: Nombre de valor: DOMINIO_KERBEROS.FABRIKAM.COM Valor: <f>0x0000000E</f> Modo: Bosques en los que buscar Sintaxis: Escriba la lista de bosques en los que buscar cuando esté habilitada esta directiva. Use el formato de nombre de dominio completo (FQDN). Separe varias entradas de búsqueda mediante punto y coma (";"). Detalles: No hace falta incluir en la lista el bosque actual porque el orden de búsqueda en bosques usa primero el catálogo global y después en el orden de la lista. No es necesario incluir en la lista por separado todos los dominios del bosque. Si se incluye en la lista un bosque de confianza, se buscará en todos los dominios de ese bosque. Para mejorar el rendimiento, ordene los bosques en la lista según la probabilidad de que la búsqueda tenga éxito.