Ondrej Sevecek's Blog

Engineering and troubleshooting by Directory Master!

Follow @OndrejSevecek

RSS

Manage Subscriptions

/_layouts/images/ReportServer/Manage_Subscription.gif

/_layouts/ReportServer/ManageSubscriptions.aspx?list={ListId}&ID={ItemId}

0x80

0x0

FileType

rdl

350

Manage Data Sources

/_layouts/ReportServer/DataSourceList.aspx?list={ListId}&ID={ItemId}

0x0

0x20

FileType

rdl

351

Manage Shared Datasets

/_layouts/ReportServer/DatasetList.aspx?list={ListId}&ID={ItemId}

0x0

0x20

FileType

rdl

352

Manage Parameters

/_layouts/ReportServer/ParameterList.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

rdl

353

Manage Processing Options

/_layouts/ReportServer/ReportExecution.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

rdl

354

Manage Cache Refresh Plans

/_layouts/ReportServer/CacheRefreshPlanList.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

rdl

355

View Report History

/_layouts/ReportServer/ReportHistory.aspx?list={ListId}&ID={ItemId}

0x0

0x40

FileType

rdl

356

View Dependent Items

/_layouts/ReportServer/DependentItems.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

rsds

350

Edit Data Source Definition

/_layouts/ReportServer/SharedDataSource.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

rsds

351

View Dependent Items

/_layouts/ReportServer/DependentItems.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

smdl

350

Manage Clickthrough Reports

/_layouts/ReportServer/ModelClickThrough.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

smdl

352

Manage Model Item Security

/_layouts/ReportServer/ModelItemSecurity.aspx?list={ListId}&ID={ItemId}

0x0

0x2000000

FileType

smdl

353

Regenerate Model

/_layouts/ReportServer/GenerateModel.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

smdl

354

Manage Data Sources

/_layouts/ReportServer/DataSourceList.aspx?list={ListId}&ID={ItemId}

0x0

0x20

FileType

smdl

351

Load in Report Builder

/_layouts/ReportServer/RSAction.aspx?RSAction=ReportBuilderModelContext&list={ListId}&ID={ItemId}

0x0

0x2

FileType

smdl

250

Edit in Report Builder

/_layouts/images/ReportServer/EditReport.gif

/_layouts/ReportServer/RSAction.aspx?RSAction=ReportBuilderReportContext&list={ListId}&ID={ItemId}

0x0

0x4

FileType

rdl

250

Edit in Report Builder

/_layouts/ReportServer/RSAction.aspx?RSAction=ReportBuilderDatasetContext&list={ListId}&ID={ItemId}

0x0

0x4

FileType

rsd

250

Manage Caching Options

/_layouts/ReportServer/DatasetCachingOptions.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

rsd

350

Manage Cache Refresh Plans

/_layouts/ReportServer/CacheRefreshPlanList.aspx?list={ListId}&ID={ItemId}&IsDataset=true

0x0

0x4

FileType

rsd

351

Manage Data Sources

/_layouts/ReportServer/DataSourceList.aspx?list={ListId}&ID={ItemId}

0x0

0x20

FileType

rsd

352

View Dependent Items

/_layouts/ReportServer/DependentItems.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

rsd

353

All Site Content

Ondrej Sevecek's Blog > Posts > Expirace účtu a platnost Kerberos tiketů

duben 25

Expirace účtu a platnost Kerberos tiketů

by Ondřej Ševeček

on 25.4.2016 22:07

Category: Kerberos

Mám tu za poslední dobu několik článečků, které se týkají zneplatnění účtů, dočasného členství ve skupinách a vůbec změny a aktualizace členství ve skupinách a zrovna se vynořila zajímavá otázka ohledně zneplatnění účtu. Tak tady je odpověď.

O co jde? Na účtu v Active Directory si můžete nastavit jeho expiraci - tabulka Account, políčko Account expires dole. Datum a čas, který nastavíte v GUI je sice k půlnoci, ale tahle hodnota se uloží do atributu accountExpires a tam by se případně dala nastavit expirace k jakémukoliv času přesněji.

Co když si uživatel vyžádá Kerberos ticket ještě krátkou dobu před expirací účtu? Bude platit celou standardní dobu (ve výchozím stavu 10 hodin), tzn. ještě přes okamžik expirace účtu? Nebo bude platit jen přesně do konce platnosti účtu?

A odpověď je.....

Že platnost ticketů je maximálně přesně do okamžiku vypršení. Takže ticket (jak TGT, tak i TGS z něho odvozené) bude platit maximálně tak dlouho, jako platí daný účet.

Howgh. Ověřeno právě na DFL/FFL 2003.

Znovu upozorňuji, že stejně jako v případě zákazu účtu, tak ani ukončení ticketů nemusí znamenat ukončení práce, viz. článečky nahoře v odkazech.

4 Comment(s)

Manage Subscriptions

/_layouts/images/ReportServer/Manage_Subscription.gif

/_layouts/ReportServer/ManageSubscriptions.aspx?list={ListId}&ID={ItemId}

0x80

0x0

FileType

rdl

350

Manage Data Sources

/_layouts/ReportServer/DataSourceList.aspx?list={ListId}&ID={ItemId}

0x0

0x20

FileType

rdl

351

Manage Shared Datasets

/_layouts/ReportServer/DatasetList.aspx?list={ListId}&ID={ItemId}

0x0

0x20

FileType

rdl

352

Manage Parameters

/_layouts/ReportServer/ParameterList.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

rdl

353

Manage Processing Options

/_layouts/ReportServer/ReportExecution.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

rdl

354

Manage Cache Refresh Plans

/_layouts/ReportServer/CacheRefreshPlanList.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

rdl

355

View Report History

/_layouts/ReportServer/ReportHistory.aspx?list={ListId}&ID={ItemId}

0x0

0x40

FileType

rdl

356

View Dependent Items

/_layouts/ReportServer/DependentItems.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

rsds

350

Edit Data Source Definition

/_layouts/ReportServer/SharedDataSource.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

rsds

351

View Dependent Items

/_layouts/ReportServer/DependentItems.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

smdl

350

Manage Clickthrough Reports

/_layouts/ReportServer/ModelClickThrough.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

smdl

352

Manage Model Item Security

/_layouts/ReportServer/ModelItemSecurity.aspx?list={ListId}&ID={ItemId}

0x0

0x2000000

FileType

smdl

353

Regenerate Model

/_layouts/ReportServer/GenerateModel.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

smdl

354

Manage Data Sources

/_layouts/ReportServer/DataSourceList.aspx?list={ListId}&ID={ItemId}

0x0

0x20

FileType

smdl

351

Load in Report Builder

/_layouts/ReportServer/RSAction.aspx?RSAction=ReportBuilderModelContext&list={ListId}&ID={ItemId}

0x0

0x2

FileType

smdl

250

Edit in Report Builder

/_layouts/images/ReportServer/EditReport.gif

/_layouts/ReportServer/RSAction.aspx?RSAction=ReportBuilderReportContext&list={ListId}&ID={ItemId}

0x0

0x4

FileType

rdl

250

Edit in Report Builder

/_layouts/ReportServer/RSAction.aspx?RSAction=ReportBuilderDatasetContext&list={ListId}&ID={ItemId}

0x0

0x4

FileType

rsd

250

Manage Caching Options

/_layouts/ReportServer/DatasetCachingOptions.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

rsd

350

Manage Cache Refresh Plans

/_layouts/ReportServer/CacheRefreshPlanList.aspx?list={ListId}&ID={ItemId}&IsDataset=true

0x0

0x4

FileType

rsd

351

Manage Data Sources

/_layouts/ReportServer/DataSourceList.aspx?list={ListId}&ID={ItemId}

0x0

0x20

FileType

rsd

352

View Dependent Items

/_layouts/ReportServer/DependentItems.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

rsd

353

Comments

Re: Expirace účtu a platnost Kerberos tiketů

různé další články na téma Kerboros tiketů:
https://www.sevecek.com/Lists/Posts/Post.aspx?ID=518
https://www.sevecek.com/Lists/Posts/Post.aspx?ID=388
https://www.sevecek.com/Lists/Posts/Post.aspx?ID=370
https://www.sevecek.com/Lists/Posts/Post.aspx?ID=360

ondass on 25.4.2016 22:11

Re: Expirace účtu a platnost Kerberos tiketů

Super, díky za tvé články.

Grotesque on 15.3.2019 8:18

platnost TGT/TGS po změne hesla

Zdravím,
mam k článku dotaz, uživatel je přihlašen do domeny na nějaké workstation, ma napovaný nějyk disk, otevřený outlook s připojením do domenoveho exchange. Administrator mu změni v AD uživateli heslo. Jak dlouho bude mapovaný disk ještě dostupný, za jak dlouho se nepodaří autentikace do exchange ?
Díky Pavel

Pavel on 12.2.2020 0:44

Re: Expirace účtu a platnost Kerberos tiketů

odpověď je složitější. Předpokládejme, že obě dvě připojení jsou opravdu ověřovaná pomocí Kerberosu (což by taky mohlo být NTLM). Máte tickety nejpozději od okamžiku připojení. TGT tickety platí 10 hodin. Ale mohou se vydat už dříve, řekněme při CTRL-ALT-DEL přihlášení. Jakmile se potom připojujete k nějaké službě, vydá se vám TGS ticket s platností jen do konce původního TGT. Takže nejspíš méně, než 10 hodin. Dokud máte TGT tak určitě není potřeba heslo. TGT se dá také dále obnovit (prodloužit) bez pomoci hesla. Takže pokud se na konci těch jeho 10 hodin něco děje, co vyžaduje práci s tickety, tak se TGT obnoví a opět není potřeba heslo. Prodlužování TGT se dá dělat ve výchozím stavu opakovaně až po dobu 7 dnů. Bez nutnosti použít heslo. Ale pokud se ke konci života TGT neděje nic, co by vyžadovalo práci s tickety, tak se TGT samo neobnovuje. Když říkám "co by vyžadovalo práci s tickety" tak myslím nová připojení k nějakým službám, obvykle nejsou tickety potřeba od okamžiku připojení už nikdy, dokud nezanikne to ověřené TCP spojení. Takže závěr - mohlo by se to projevit do 10 hodin. Nebo do 7 dnů. Nebo nikdy, dokud neodpojíte to TCP spojení :-)

Pokud by vám šlo o otázku "jak rychle se zbavím uživatele", tak odpověď je - nemůžete nikdy spoléhat na nic jiného, než že obejdete všechny služby, které by ten člověk mohl využívat a ručně ho "odpojíte". To platí obecně, bez ohledu na Kerberos, nebo cokoliv.

ondass on 12.2.2020 10:33

Manage Subscriptions

/_layouts/images/ReportServer/Manage_Subscription.gif

/_layouts/ReportServer/ManageSubscriptions.aspx?list={ListId}&ID={ItemId}

0x80

0x0

FileType

rdl

350

Manage Data Sources

/_layouts/ReportServer/DataSourceList.aspx?list={ListId}&ID={ItemId}

0x0

0x20

FileType

rdl

351

Manage Shared Datasets

/_layouts/ReportServer/DatasetList.aspx?list={ListId}&ID={ItemId}

0x0

0x20

FileType

rdl

352

Manage Parameters

/_layouts/ReportServer/ParameterList.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

rdl

353

Manage Processing Options

/_layouts/ReportServer/ReportExecution.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

rdl

354

Manage Cache Refresh Plans

/_layouts/ReportServer/CacheRefreshPlanList.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

rdl

355

View Report History

/_layouts/ReportServer/ReportHistory.aspx?list={ListId}&ID={ItemId}

0x0

0x40

FileType

rdl

356

View Dependent Items

/_layouts/ReportServer/DependentItems.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

rsds

350

Edit Data Source Definition

/_layouts/ReportServer/SharedDataSource.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

rsds

351

View Dependent Items

/_layouts/ReportServer/DependentItems.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

smdl

350

Manage Clickthrough Reports

/_layouts/ReportServer/ModelClickThrough.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

smdl

352

Manage Model Item Security

/_layouts/ReportServer/ModelItemSecurity.aspx?list={ListId}&ID={ItemId}

0x0

0x2000000

FileType

smdl

353

Regenerate Model

/_layouts/ReportServer/GenerateModel.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

smdl

354

Manage Data Sources

/_layouts/ReportServer/DataSourceList.aspx?list={ListId}&ID={ItemId}

0x0

0x20

FileType

smdl

351

Load in Report Builder

/_layouts/ReportServer/RSAction.aspx?RSAction=ReportBuilderModelContext&list={ListId}&ID={ItemId}

0x0

0x2

FileType

smdl

250

Edit in Report Builder

/_layouts/images/ReportServer/EditReport.gif

/_layouts/ReportServer/RSAction.aspx?RSAction=ReportBuilderReportContext&list={ListId}&ID={ItemId}

0x0

0x4

FileType

rdl

250

Edit in Report Builder

/_layouts/ReportServer/RSAction.aspx?RSAction=ReportBuilderDatasetContext&list={ListId}&ID={ItemId}

0x0

0x4

FileType

rsd

250

Manage Caching Options

/_layouts/ReportServer/DatasetCachingOptions.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

rsd

350

Manage Cache Refresh Plans

/_layouts/ReportServer/CacheRefreshPlanList.aspx?list={ListId}&ID={ItemId}&IsDataset=true

0x0

0x4

FileType

rsd

351

Manage Data Sources

/_layouts/ReportServer/DataSourceList.aspx?list={ListId}&ID={ItemId}

0x0

0x20

FileType

rsd

352

View Dependent Items

/_layouts/ReportServer/DependentItems.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

rsd

353

Add Comment

Title

Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *

Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *

Type number two as digit *

Semhle vyplňte číslici dvě. Předchozí antispemové pole nefunguje úplně dokonale, zdá se, že jsou i spamery, které pochopily, že je občas potřeba vyplnit autora :-)

Email

Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Ondrej Sevecek's Blog