我试图将发行的Kerberos票据的最大可更新生命周期设置为365天,但是,我所做的以下更改似乎被忽略:
在/etc/krb5.conf里面:
[libdefaults] ... renew_lifetime = 365d ... [appdefaults] pam = { ... renew_lifetime = 365d ... } 在一个kadmin会议:
kadmin: modprinc -maxrenewlife 365day krbtgt/REALM kadmin: modprinc -maxrenewlife 365day stefan
然后我开始通过kinit发出一张新票:
$ kinit -r 365d
但是,由此产生的票只有7天的续订期限:
$ klist Ticket cache: FILE:/tmp/krb5cc_1000 Default principal: stefan@REALM Valid starting Expires Service principal 2017-03-09 21:15:31 2017-03-10 09:15:31 krbtgt/REALM@REALM renew until 2017-03-16 21:15:31
我错过了什么? 我正在使用MIT Kerberos版本1.13.7。
编辑:我解决了问题,通过将max_renewable_life参数添加到领域部分。
我通过将max_renewable_life参数添加到领域部分来解决问题。
[realms] REALM = { ... max_renewable_life = 365d }