Kerberos 인증의 새로운 기능

  • 아티클

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016 및 Windows 10

공개 키 신뢰 기반 클라이언트 인증에 대한 KDC 지원

Windows Server 2016부터 KDC는 공개 키 매핑 방법을 지원합니다. 퍼블릭 키가 계정에 대해 프로비전된 경우 KDC는 해당 키를 사용하여 Kerberos PKInit를 명시적으로 지원합니다. 인증서 유효성 검사가 없으므로 자체 서명된 인증서가 지원되며 인증 메커니즘 보증이 지원되지 않습니다.

UseSubjectAltName 설정에 관계없이 계정에 대해 구성된 경우 키 트러스트를 사용하는 것이 좋습니다.

RFC 8070 PKInit Freshness 확장에 대한 Kerberos 클라이언트 및 KDC 지원

Windows 10 버전 1607 및 Windows Server 2016부터 Kerberos 클라이언트는 공개 키 기반 로그온에 대해 RFC 8070 PKInit 새로 고침 확장을 시도합니다.

Windows Server 2016부터 KDC는 PKInit 새로 고침 확장을 지원할 수 있습니다. 기본적으로 KDC는 PKInit 새로 고침 확장을 제공하지 않습니다. 이를 사용하도록 설정하려면 할 일의 모든 DC에서 PKInit Freshness Extension KDC 관리 템플릿 정책 설정에 대한 새 KDC 지원을 사용합니다기본. 구성되면 다음 옵션이 지원됩니다. 기본 Windows Server 2016 do기본 기능 수준(DFL)입니다.

  • 사용 안 함: KDC는 PKInit Freshness 확장을 제공하지 않으며 새로 고침을 위해 검사 않고 유효한 인증 요청을 수락합니다. 사용자는 새 공개 키 ID SID를 받지 않습니다.
  • 지원됨: 요청 시 PKInit Freshness 확장이 지원됩니다. PKInit Freshness 확장을 사용하여 인증하는 Kerberos 클라이언트는 새 공개 키 ID SID를 받습니다.
  • 필수: 성공적인 인증을 위해서는 PKInit Freshness 확장이 필요합니다. PKInit Freshness 확장을 지원하지 않는 Kerberos 클라이언트는 공개 키 자격 증명을 사용할 때 항상 실패합니다.

공개 키를 사용하여 인증에 기본 조인된 디바이스 지원

Windows 10 버전 1507 및 Windows Server 2016부터 do기본 조인된 디바이스가 Windows Server 2016 do기본 컨트롤러(DC)에 바인딩된 공개 키를 등록할 수 있는 경우 디바이스는 Windows Server 2016 DC에 Kerberos 인증을 사용하여 공개 키로 인증할 수 있습니다. 자세한 내용은 Do기본 조인 디바이스 공개 키 인증을 참조하세요.

Kerberos 클라이언트는 SPN(서비스 사용자 이름)에서 IPv4 및 IPv6 주소 호스트 이름을 허용합니다.

Windows 10 버전 1507 및 Windows Server 2016부터 Kerberos 클라이언트는 SPN에서 IPv4 및 IPv6 호스트 이름을 지원하도록 구성할 수 있습니다.

레지스트리 경로:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters

SPN에서 IP 주소 호스트 이름에 대한 지원을 구성하려면 TryIPSPN 항목을 만듭니다. 이 항목은 기본적으로 레지스트리에 없습니다. 항목을 만든 후 DWORD 값을 1로 변경합니다. 구성되지 않은 경우 IP 주소 호스트 이름은 시도되지 않습니다.

SPN이 Active Directory에 등록되면 Kerberos를 사용하여 인증에 성공합니다.

자세한 내용은 IP 주소에 대한 Kerberos 구성 문서를 검사.

키 신뢰 계정 매핑에 대한 KDC 지원

Windows Server 2016부터 기본 컨트롤러는 SAN 동작에서 기존 AltSecID 및 UPN(사용자 계정 이름)으로 대체뿐만 아니라 키 신뢰 계정 매핑을 지원합니다. UseSubjectAltName이 다음으로 설정된 경우:

  • 0: 명시적 매핑이 필요합니다. 그런 다음 다음 중 하나가 있어야 합니다.
    • 키 신뢰(Windows Server 2016의 새로운 기능)
    • ExplicitAltSecID
  • 1: 암시적 매핑이 허용됨(기본값):
    1. 키 트러스트가 계정에 대해 구성된 경우 매핑에 사용됩니다(Windows Server 2016의 새로운 기능).
    2. SAN에 UPN이 없으면 AltSecID가 매핑을 시도합니다.
    3. SAN에 UPN이 있는 경우 매핑을 위해 UPN이 시도됩니다.

참고 항목