Authentication Kerberos密钥生存期
我有一个HTTP服务在我的域上运行。但是,对于如何确定HTTP服务的生命周期,我几乎没有疑问。 客户端可以使用我的HTTP服务多长时间?Kerberos票证具有生存期(例如10小时)和可更新生存期(例如7天)。只要票证仍然有效且可以续签,您就可以请求“免费”续签(无需密码),并且生命周期计数器将重置(例如,再过10小时) 创建票证时,每个“生存期”设置为3个值中的MIN():Authentication Kerberos密钥生存期,authentication,kerberos,mit-kerberos,kdc,klist,Authentication,Kerberos,Mit Kerberos,Kdc,Klist,我有一个HTTP服务在我的域上运行。但是,对于如何确定HTTP服务的生命周期,我几乎没有疑问。 客户端可以使用我的HTTP服务多长时间?Kerberos票证具有生存期(例如10小时)和可更新生存期(例如7天)。只要票证仍然有效且可以续签,您就可以请求“免费”续签(无需密码),并且生命周期计数器将重置(例如,再过10小时) 创建票证时,每个“生存期”设置为3个值中的MIN(): KDC服务器配置中设置的最大持续时间(请在“最大使用寿命”和“最大可再生使用寿命”下进行检查) 客户机配置中的标准持续
- KDC服务器配置中设置的最大持续时间(请在“最大使用寿命”和“最大可再生使用寿命”下进行检查)
- 客户机配置中的标准持续时间,通常在
中(检查票据下的生命周期和续订生命周期)/etc/krb5.conf
- 客户端请求的显式持续时间(如果有)(例如
命令具有kinit
和-l
选项)-r
max_renewable_life=0
而不提供可续期票证,那么客户必须每隔max_life
一次获得一张新票证(如果他们的本地ticket_life
更小,则必须获得更少的票证)
PS:如果票证存储在默认缓存中,那么您可以使用klist
来检查(可更新的)生命周期的结束时间。PPS:我记得有人抱怨JavaAPI(JAAS)不允许应用程序请求可更新的Kerberos票证。。。检查情况是否仍然如此。Kerberos票证具有生存期(例如10小时)和可更新生存期(例如7天)。只要票证仍然有效且可以续签,您就可以请求“免费”续签(无需密码),并且生命周期计数器将重置(例如,再过10小时) 创建票证时,每个“生存期”设置为3个值中的MIN():
- KDC服务器配置中设置的最大持续时间(请在“最大使用寿命”和“最大可再生使用寿命”下进行检查)
- 客户机配置中的标准持续时间,通常在
中(检查票据下的生命周期和续订生命周期)/etc/krb5.conf
- 客户端请求的显式持续时间(如果有)(例如
命令具有kinit
和-l
选项)-r
max_renewable_life=0
而不提供可续期票证,那么客户必须每隔max_life
一次获得一张新票证(如果他们的本地ticket_life
更小,则必须获得更少的票证)
PS:如果票证存储在默认缓存中,那么您可以使用klist
来检查(可更新的)生命周期的结束时间。PPS:我记得有人抱怨JavaAPI(JAAS)不允许应用程序请求可更新的Kerberos票证。。。检查是否仍然是这样