重置kerberos票的最长寿命超过24小时

时间:2014-11-19 08:22:56

标签: kerberos mit-kerberos

我在我的机器上使用MIT kerberos 5来验证用户身份。这会将票证授予用户。我想重置票证的最长寿命超过24小时。默认情况下,kerberos票的最长寿命为24小时。我尝试了以下步骤:

  1. 更改了/var/kerberos/krb5kdc/kdc.conf   我没有找到max-life所以我设置了max_life = 168h 0m 0s
  2. 更改了/etc/krb5.conf   将默认的ticket_lifetime从24小时更改为   ticket_lifetime = 168h 0m 0s
  3. 默认情况下,主要生命周期为最长机票寿命:1天00:00:00

  4. 我使用以下命令将其更改为168h 

    kadmin.local:  modify_principal -maxlife 168hours testkerb

  5. 更改为 - 最长机票寿命:7天00:00:00

  6. 然后我为用户做了kinit,并与klist进行核对。

    7. klist结果仍显示机票寿命为24小时。 klist的输出如下:

    Valid starting     Expires            Service principal
**11/19/14 12:51:59  11/20/14 12:51:59  krbtgt/EXAMPLE.COM@EXAMPLE.COM**
    renew until 11/19/14 12:51:59

    如果有人知道,请告诉我我在哪里做错了。不到24小时我能够改变票证寿命,但超过24小时它没有反映在klist。我很感激你的帮助。

1 个答案:

答案 0 :(得分:3)

嗨,我得到了工作步骤,所以更新它。要将kerberos中的票证的最长生命周期从默认24小时更改为超过24小时,请按照以下步骤操作:

  1. max_life属性添加到/var/kerberos/krb5kdc/kdc.conf文件。

    max_life = 168h 0m 0s

  2. 更改了/etc/krb5.conf文件。

    ticket_lifetime = 168h 0m 0s

  3. 更改了默认主体krbtgt/EXAMPLE.COM@EXAMPLE.COM最长生命时间。

    modprinc -maxlife 168hours krbtgt/EXAMPLE.COM@EXAMPLE.COM

    4. 现在我们可以将票证寿命设置为7天,即168小时。我们可以为用户执行kinit并按klist检查故障单的到期时间。

    您还可以使用kadmin命令和getprinc查看主体的状态。

    kadmin:  getprinc krbtgt/EXAMPLE.COM@EXAMPLE.COM
Principal: krbtgt/EXAMPLE.COM@EXAMPLE.COM
Expiration date: [never]
Last password change: Thu Jan 05 15:23:04 EST 2017
Password expiration date: [none]
Maximum ticket life: 0 days 168:00:00
Maximum renewable life: 7 days 00:00:00
Last modified: Fri Jun 30 08:23:23 EDT 2017 (root/admin@EXAMPLE.COM)
Last successful authentication: Fri Jun 30 08:16:47 EDT 2017
Last failed authentication: [never]
Failed password attempts: 0
Number of keys: 4
Key: vno 3, arcfour-hmac, no salt
Key: vno 3, des3-cbc-sha1, no salt
Key: vno 3, des-cbc-crc, no salt
Key: vno 3, aes256-cts-hmac-sha1-96, no salt
MKey: vno 1
Attributes: REQUIRES_PRE_AUTH
Policy: [none]
相关问题
最新问题