La durée de vie des tickets Kerberos
J'ai commencé avec la configuration de kerberos.
Quelqu'un peut-il expliquer le billet de vie et de renouveler la durée de vie que nous avons définies dans le krb5.fichier conf.
ticket_lifetime = 2d
renew_lifetime = 7d
Est comme
- Après 2 jours, le client obtiendra le nouveau renouvelé billet ?
- Après 7 jours ai-je besoin de créer la clé d'onglets de nouveau et d'envoyer des machines clientes?
- Je ne comprends pas votre sujet.
- Avez-vous lu la page de man à tous?
- ok... Nous utilisons kinit de renouveler le billet avant qu'il arrive à expiration.
- De nouveau, si le billet est expiré, il ne peut pas être renouvelé, si le renew_lifetime est plus élevé. Den quel est le besoin pour renew_lifetime paramètre?
- Nous avons un client dont RenewUntil est la même que l'heure de fin pour les billets, bien que l'objet de stratégie de groupe durée de vie maximale pour l'utilisateur de renouvellement est fixée à 7 jours
Vous devez vous connecter pour publier un commentaire.
Un ticket Kerberos a deux vies: un billet de vie et renouvelables d'une durée de vie. Après la fin de la durée de vie ticket, le ticket ne peut plus être utilisé. Toutefois, si le renouvelable, la durée de vie est plus longue que la durée de vie bon, quiconque détient le billet peut, à tout moment avant soit durée de vie expire, présenter le billet pour le KDC et demander un nouveau billet. Que nouveau billet sera généralement avoir un nouveau billet de vie datant de l'heure actuelle, bien que limitée par le renouvelable billet de vie.
Cela signifie que vous devez renouveler un billet avant la date d'expiration. Vous ne pouvez pas renouveler un billet après son expiration. Mais le renouvellement d'un billet ne nécessite pas de re-saisie des informations d'identification, comme un mot de passe ou la clé à partir du fichier keytab. Il peut donc être fait tranquillement sur le compte de l'utilisateur par un programme. (Il y a, par exemple, un système d'arrière-plan utilitaires pour Windows, Linux et Mac OS X qui montre à l'utilisateur de tickets Kerberos et renouveler si nécessaire jusqu'à l'renouvelables vie).
Après le renouvelable, la durée de vie est épuisée, ou si l'on ne renouvelle pas le billet avant que le billet durée de vie expire, vous devrez re-entrer les informations d'identification ou de l'utilisation de la clé à partir d'un fichier keytab.
De vue de la sécurité, l'avantage de renouvelables billets sur les billets qui ont juste une longue durée de vie, c'est que le KDC peut refuser la demande de renouvellement (si, par exemple, il a été découvert que le compte a été compromise renouvelables et les billets peuvent être dans les mains d'un pirate).
Renouvelables la durée de vie n'ont rien à voir avec keytabs. D'un fichier keytab est bon jusqu'à ce que vous modifiez la clé pour le principal, potentiellement pour toujours.
Il y a deux partie de celui-ci est un billet max de la vie, qui est par défaut à 1 jour comme det dans /etc/krb5.fichier conf. Maintenant, lorsque nous créons de toute partie du capital de ses billets maxlife est la même que celle de la krb5.conf ticket_lifetime. Si nous pouvons changer le billet de la vie de temps pour l'utilisateur de donner ensuite la commande modprinc -maxlife "10 heures" nom d'utilisateur.
Enfin lors de la génération du billet, nous pouvons définir la durée de vie de ce billet. donner le billet de vie avec kinit.
Donc, il y a trois vie.