已经删除的Microsoft AD域账号仍然能够通过身份认证

发布时间:  2013-01-15 浏览次数:  89 下载次数:  0
问题描述
终端用户在使用Microsoft AD域账号登录Microsoft Windows操作系统后,在TSM代理的“认证方式”选择“AD域账号”进行认证并通过认证。在Microsoft AD域控制器删除该Microsoft AD域账号后,终端用户仍然能够使用该Microsoft AD域账号在TSM代理通过认证。
告警信息
N/A
处理过程
终端用户使用Microsoft AD域账号登录终端主机时,从Microsoft AD域控制器获取了票证。该票证具有一定的有效期,默认的有效期是10个小时。无论Microsoft AD域账号是否已经删除,只要在有效期内,终端主机就能够使用该票证在TSM完成认证。只有当终端主机重新启动或票证的有效期结束后,已经获取的票证才会失效。
根因
此问题是Kerberos认证本身的问题而不是TSM的问题。
建议与总结
N/A

END