Kerberos 密钥生命周期
Kerberos key Lifetime
我的域上有一个 HTTP 服务 运行。但我对我的 HTTP 服务的生命周期是如何决定的几乎没有疑问。
客户端可以使用我的 HTTP 服务多长时间?
Kerberos 票证具有 生命周期(例如 10 小时)和 可更新生命周期(例如 7 天)。只要票仍然有效并且仍然可以更新,您就可以请求 "free" 更新——不需要密码——并且生命周期计数器会被重置(例如,还有 10 小时,再次)。
创建工单时,每个 "lifetime" 设置为 3 个值的 MIN():
- KDC 服务器配置中设置的最长持续时间(检查 max_life 和 max_renewable_life[= 下的 MIT documentation 39=])
- 客户端配置中的标准持续时间,通常在
/etc/krb5.conf 中(检查 ticket_lifetime 和 [ 下的 MIT documentation =54=])
- 客户端请求的明确持续时间,如果有(例如
kinit 命令有 -l 和 -r 选项)
底线:如果您的 KDC 因为 max_renewable_life = 0 不提供可更新票证,那么客户将必须每隔 max_life(或更少,如果他们的本地 ticket_lifetime更小)。
PS:如果票证存储在默认缓存中,那么您可以使用 klist 检查(可更新)生命周期结束时间。
PPS:我记得一些关于 Java API (JAAS) 不允许应用程序请求可更新的 Kerberos 票证的投诉...检查是否仍然如此。
我的域上有一个 HTTP 服务 运行。但我对我的 HTTP 服务的生命周期是如何决定的几乎没有疑问。 客户端可以使用我的 HTTP 服务多长时间?
Kerberos 票证具有 生命周期(例如 10 小时)和 可更新生命周期(例如 7 天)。只要票仍然有效并且仍然可以更新,您就可以请求 "free" 更新——不需要密码——并且生命周期计数器会被重置(例如,还有 10 小时,再次)。
创建工单时,每个 "lifetime" 设置为 3 个值的 MIN():
- KDC 服务器配置中设置的最长持续时间(检查 max_life 和 max_renewable_life[= 下的 MIT documentation 39=])
- 客户端配置中的标准持续时间,通常在
/etc/krb5.conf中(检查 ticket_lifetime 和 [ 下的 MIT documentation =54=]) - 客户端请求的明确持续时间,如果有(例如
kinit命令有-l和-r选项)
底线:如果您的 KDC 因为 max_renewable_life = 0 不提供可更新票证,那么客户将必须每隔 max_life(或更少,如果他们的本地 ticket_lifetime更小)。
PS:如果票证存储在默认缓存中,那么您可以使用 klist 检查(可更新)生命周期结束时间。
PPS:我记得一些关于 Java API (JAAS) 不允许应用程序请求可更新的 Kerberos 票证的投诉...检查是否仍然如此。