更改kerberos主体的默认最长票证生命周期

时间:2014-11-18 05:00:11

标签: kerberos

kerberos本金的默认最长寿命为1天。如何将其更改为超过一天或任何可配置的值。我正在做getprinc testkerb并获得以下内容:

  • kadmin.local:getprinc testkerb
  • 校长:testkerb@EXAMPLE.COM
  • 到期日期:[never]最后
  • 密码更改:2014年11月18日星期二09:55:08 IST 2014
  • 密码到期日期:[无]
  • 最长机票寿命:1天00:00:00
  • 最长可更新寿命:0天00:00:00
  • 最后修改日期:2014年11月18日星期二09:55:08 IST 2014(factory/admin@EXAMPLE.COM)
  • 上次成功验证:[never]
  • 上次失败的身份验证:[never]
  • 密码尝试失败:0
  • 键数:6
  • Key:vno 1,aes256-cts-hmac-sha1-96,no salt
  • Key:vno 1,aes128-cts-hmac-sha1-96,no salt
  • Key:vno 1,des3-cbc-sha1,no salt
  • Key:vno 1,arcfour-hmac,no salt
  • Key:vno 1,des-hmac-sha1,no salt
  • Key:vno 1,des-cbc-md5,no salt
  • MKey:vno 1
  • 属性:
  • 政策:[无]

我想更改突出显示的那个。

1 个答案:

答案 0 :(得分:1)

嗨,我得到了工作步骤,所以更新它。要将kerberos中的票证的最长生命周期从默认24小时更改为超过24小时,请按照以下步骤操作:

Add the max_life property to the /var/kerberos/krb5kdc/kdc.conf file. e.g : max_life = 168h 0m 0s
Changed the /etc/krb5.conf file e.g : ticket_lifetime = 168h 0m 0s
Changed the default principal krbtgt/EXAMPLE.COM@EXAMPLE.COM Maximum Life Time e.g modprinc -maxlife 168hours krbtgt/EXAMPLE.COM@EXAMPLE.COM

现在我们可以将票证寿命设置为7天,即168小时。我们可以为用户做kinit并通过klist检查票证的到期日。

相关问题
最新问题