我已经开始配置kerberos了。
任何人都可以解释我们在krb5.conf文件中设置的票证生命周期和续订生命周期。
ticket_lifetime = 2d
renew_lifetime = 7d
是不是
答案 0 :(得分:47)
Kerberos票证有两个生命周期:票证生命周期和可续订生命周期。票证生命周期结束后,无法再使用票证。但是,如果可更新生命周期长于票证生命周期,那么持有票证的任何人都可以在 生存期到期之前的任何时候将票证提交给KDC并要求新票证。这张新机票通常会有一个新的机票寿命,可以追溯到当前时间,但受到可更新机票寿命的限制。
这意味着您必须在票证到期之前续订。您的票证到期后无法续订。但续订票证不需要重新输入凭据,例如密码或密钥表中的密钥。因此,它可以由程序代表用户安静地完成。 (例如,有一些Windows,Linux和Mac OS X的系统后台实用程序可以监视用户的Kerberos票证,并根据需要续订它们,直到可更新的生命周期。)
在可更新生命周期用尽之后,或者在票证有效期到期之前未续订票证时,您必须重新输入凭据或使用密钥表中的密钥。
安全方面,可再生票证优于长期使用的票证的优势在于KDC可以拒绝续订请求(例如,如果发现该帐户已被盗用且可更新票证可能是在攻击者的手中。)
可续订的生命周期与keytabs没有任何关系。在您更改主体的密钥之前,密钥表是好的,可能是永远的。
答案 1 :(得分:0)
这一部分的两部分是票证最大生命,默认情况下是/etc/krb5.conf文件中的det一天。现在,当我们创建任何委托人时,其票证maxlife与krb5.conf ticket_lifetime的票证相同。如果我们可以改变用户的票证续航时间,那么给出命令modprinc -maxlife" 10小时"用户名。
最后,在生成票证时,我们可以设置该票证的生命周期。用kinit给出票证。
所以有三个生命。