Kerberos-Schlüssel Lebensdauer

Question

Ich habe einen HTTP-Dienst auf meiner Domäne ausgeführt. Aber ich habe wenig Zweifel, wie die Lebenszeit für meinen HTTP-Dienst entschieden wird. Wie lange kann ein Client meinen HTTP-Service verwenden?

Answer 1

ein Kerberos-Ticket hat eine Lebensdauer (beispielsweise 10 Stunden) und eine nachwachsende Lebensdauer (z.B. 7 Tage). Solange das Ticket noch gültig ist und noch verlängert werden kann, können Sie eine "kostenlose" Verlängerung beantragen - es ist kein Passwort erforderlich - und der Lebenszeitzähler wird zurückgesetzt (z. B. 10 Stunden, um wieder zu gehen).

wenn das Ticket zu schaffen, die jeweils "Lebensdauer" als MIN() von 3 Werte gesetzt:

• die max Dauer in KDC Serverkonfiguration eingestellt ist (siehe MIT documentation unter max_life und max_renewable_life)
• die Standarddauer in Client-Konfiguration, in der Regel in /etc/krb5.conf (siehe MIT documentation unter ticket_lifetime und renew_lifetime)
• die explizite Dauer auf Wunsch des Kunden, falls vorhanden (zum Beispiel des kinit Befehl hat -l und -r Optionen)

Fazit: Wenn Ihre KDC erneuerbare Tickets dient nicht, weil max_renewable_life = 0 dann werden die Kunden haben um ein neues Ticket alle max_life (oder weniger, wenn ihre lokale ticket_lifetime ist kleiner).

PS: Wenn das Ticket im Standard-Cache gespeichert ist, können Sie klist verwenden, um die End-of- (erneuerbare) -Lebenszeit zu überprüfen.
PPS: Ich erinnere mich an einige Beschwerden über die Java-API (JAAS), die es Apps nicht erlauben, erneuerbare Kerberos-Tickets anzufordern ... Prüfen Sie, ob es immer noch so ist.