La durée de vie des tickets Kerberos

J'ai commencé avec la configuration de kerberos.

Quelqu'un peut-il expliquer le billet de vie et de renouveler la durée de vie que nous avons définies dans le krb5.fichier conf.

ticket_lifetime = 2d  
renew_lifetime = 7d

Est comme

  1. Après 2 jours, le client obtiendra le nouveau renouvelé billet ?
  2. Après 7 jours ai-je besoin de créer la clé d'onglets de nouveau et d'envoyer des machines clientes?
  • Je ne comprends pas votre sujet.
  • Avez-vous lu la page de man à tous?
  • ok... Nous utilisons kinit de renouveler le billet avant qu'il arrive à expiration.
  • De nouveau, si le billet est expiré, il ne peut pas être renouvelé, si le renew_lifetime est plus élevé. Den quel est le besoin pour renew_lifetime paramètre?
  • Nous avons un client dont RenewUntil est la même que l'heure de fin pour les billets, bien que l'objet de stratégie de groupe durée de vie maximale pour l'utilisateur de renouvellement est fixée à 7 jours
InformationsquelleAutor saiyan | 2013-02-04
  1. 47

    Un ticket Kerberos a deux vies: un billet de vie et renouvelables d'une durée de vie. Après la fin de la durée de vie ticket, le ticket ne peut plus être utilisé. Toutefois, si le renouvelable, la durée de vie est plus longue que la durée de vie bon, quiconque détient le billet peut, à tout moment avant soit durée de vie expire, présenter le billet pour le KDC et demander un nouveau billet. Que nouveau billet sera généralement avoir un nouveau billet de vie datant de l'heure actuelle, bien que limitée par le renouvelable billet de vie.

    Cela signifie que vous devez renouveler un billet avant la date d'expiration. Vous ne pouvez pas renouveler un billet après son expiration. Mais le renouvellement d'un billet ne nécessite pas de re-saisie des informations d'identification, comme un mot de passe ou la clé à partir du fichier keytab. Il peut donc être fait tranquillement sur le compte de l'utilisateur par un programme. (Il y a, par exemple, un système d'arrière-plan utilitaires pour Windows, Linux et Mac OS X qui montre à l'utilisateur de tickets Kerberos et renouveler si nécessaire jusqu'à l'renouvelables vie).

    Après le renouvelable, la durée de vie est épuisée, ou si l'on ne renouvelle pas le billet avant que le billet durée de vie expire, vous devrez re-entrer les informations d'identification ou de l'utilisation de la clé à partir d'un fichier keytab.

    De vue de la sécurité, l'avantage de renouvelables billets sur les billets qui ont juste une longue durée de vie, c'est que le KDC peut refuser la demande de renouvellement (si, par exemple, il a été découvert que le compte a été compromise renouvelables et les billets peuvent être dans les mains d'un pirate).

    Renouvelables la durée de vie n'ont rien à voir avec keytabs. D'un fichier keytab est bon jusqu'à ce que vous modifiez la clé pour le principal, potentiellement pour toujours.

    • J'ai voulu tester ces valeurs (renew_lifetime, ticket_lifetime) j'ai fait une kinit de mon host $kinit <userprincipal>/<accueil>@<ROYAUME> -kt <keytab_path> et j'ai un billet en cours de validité dans mon billet cache. puis, après la renew_lifetime expiration, je peux faire la kinit de nouveau, et je suis en mesure d'obtenir des billets à l'ticketcache. Cela semble un peu confus. Le MIT Kerberos Documentation dit, un billet n'est pas renouvelable une fois l'renew_lifetime la durée est plus.
    • Lorsque vous faites un kinit à partir d'un fichier keytab, vous n'êtes pas le renouvellement de votre billet. Vous obtenez un tout nouveau billet, de l'authentification avec le long-terme clé dans le fichier keytab. Comme mentionné ci-dessus, keytabs n'expirent pas. Ils sont l'équivalent du mot de passe pour le principal Kerberos. Pour tester les valeurs, utilisez klist (qui affiche renouveler durée de vie) et kinit -R (à renouveler un titre de transport).
    • Ce n'est pas vrai pour mon usercase à propos de cette clause "Toutefois, si le renouvelable, la durée de vie est plus longue que la durée de vie bon, quiconque détient le billet peut, à tout moment avant l'expiration de la durée de vie". Pour mon test, au moins 2 minutes avant l'expiration d'un délai pour mon cas, otheriwse "kinit -R" jeter "init: Billet expiré lors du renouvellement de l'identification"
    InformationsquelleAutor rra
  2. 0

    Il y a deux partie de celui-ci est un billet max de la vie, qui est par défaut à 1 jour comme det dans /etc/krb5.fichier conf. Maintenant, lorsque nous créons de toute partie du capital de ses billets maxlife est la même que celle de la krb5.conf ticket_lifetime. Si nous pouvons changer le billet de la vie de temps pour l'utilisateur de donner ensuite la commande modprinc -maxlife "10 heures" nom d'utilisateur.

    Enfin lors de la génération du billet, nous pouvons définir la durée de vie de ce billet. donner le billet de vie avec kinit.

    Donc, il y a trois vie.

    • ticket kerberos temps de la vie
    • principal billet max de temps de la vie qui sera inférieure ou égale à kerberos temps de la vie.
    • kinit temps de la vie qui est inférieur ou égal au capital de billets de temps de la vie.
    InformationsquelleAutor Avinav Mishra