我们的KDC服务器运行Ubuntu Dapper(2.6.15-28)或Hardy(2.6.24-19)。 Kerberos软件是Kerberos 5的MIT实现。默认情况下,Kerberos票证持续10个小时。 不过,我们想增加一点(如14小时)以更好地满足我们的需求。 我已经做了以下,但票的寿命仍然停留在10小时:
在所有KDC服务器上,在/etc/krb5kdc/kdc.conf “[realms]”下设置以下参数并重新启动KDC守护进程:
max_life = 14h 0m 0s
通过“kadmin”,通过“modprinc-maxlife 14小时”改变了testing负责人的“maxlife”。
“getprinc”表明,最长的门票寿命确实是14小时:最大门票寿命:0天14:00:00
在Kerberos客户端机器上,在/etc/krb5.conf中的[libdefaults],[realms],[domain_realm]和[login]下设置以下参数(基本上,因为没有任何我尝试过的工作):
ticket_lifetime = 13hrs default_lifetime = 13hrs
通过以上的设置,我猜想票的使用寿命将被限制在13个小时。 当我做k5start -l 14h -t <principal> ,我看到“renew until”行的结束时间现在是从开始时间起的14个小时:
Valid starting Expires Service principal 04/13/10 16:42:05 04/14/10 02:42:05 krbtgt/<realm>@<realm> renew until 04/14/10 06:42:03
“-13小时”将在开始时间13小时后在“更新到”行结束。
但是,票还是在10个小时内过期(04/13 16:42:05 – 014/14 02:42:05)。
我没有更改正确的configuration文件/参数,没有在获取Kerberos票证时指定正确的选项,还是其他的东西?
原来,我也必须更改服务主体的“maxlife”参数。 具体来说,我不得不做“modprinc -maxlife 14小时krbtgt / [REALM_in_CAPS]”,以使生命期限增加到14小时。
综上所述,票证使用期限是以下值的最小值 :
KDC服务器上的kdc.conf中的max_life 。
客户机上的krb5.conf中的ticket_lifetime 。
用户主体的maxlife。
服务负责人maxlife“krbtgt / [REALM_in_CAPS]”=>我错过了什么!
在请求中请求生命期。 例如:
k5start -l 14h kinit -l 14h AFS服务主体“afs / [realm_in_lower_case]”的maxlife,如果要增加AFS标记的生命周期。
谜团已揭开!