Fatal编程技术网

Authentication Kerberos密钥生存期

authentication

Authentication Kerberos密钥生存期,authentication,kerberos,mit-kerberos,kdc,klist,Authentication,Kerberos,Mit Kerberos,Kdc,Klist,我有一个HTTP服务在我的域上运行。但是,对于如何确定HTTP服务的生命周期,我几乎没有疑问。 客户端可以使用我的HTTP服务多长时间?Kerberos票证具有生存期(例如10小时)和可更新生存期(例如7天)。只要票证仍然有效且可以续签,您就可以请求“免费”续签(无需密码),并且生命周期计数器将重置(例如,再过10小时) 创建票证时,每个“生存期”设置为3个值中的MIN(): KDC服务器配置中设置的最大持续时间(请在“最大使用寿命”和“最大可再生使用寿命”下进行检查) 客户机配置中的标准持续

我有一个HTTP服务在我的域上运行。但是,对于如何确定HTTP服务的生命周期,我几乎没有疑问。 客户端可以使用我的HTTP服务多长时间?

Kerberos票证具有生存期(例如10小时)和可更新生存期(例如7天)。只要票证仍然有效且可以续签,您就可以请求“免费”续签(无需密码),并且生命周期计数器将重置(例如,再过10小时)

创建票证时,每个“生存期”设置为3个值中的MIN():

  • KDC服务器配置中设置的最大持续时间(请在“最大使用寿命”和“最大可再生使用寿命”下进行检查)
  • 客户机配置中的标准持续时间,通常在
    /etc/krb5.conf
    中(检查票据下的生命周期和续订生命周期)
  • 客户端请求的显式持续时间(如果有)(例如
    kinit
    命令具有
    -l
    -r
    选项)
一句话:如果您的KDC因为
max_renewable_life=0
而不提供可续期票证,那么客户必须每隔
max_life
一次获得一张新票证(如果他们的本地
ticket_life
更小,则必须获得更少的票证)

PS:如果票证存储在默认缓存中,那么您可以使用
klist
来检查(可更新的)生命周期的结束时间。
PPS:我记得有人抱怨JavaAPI(JAAS)不允许应用程序请求可更新的Kerberos票证。。。检查情况是否仍然如此。

Kerberos票证具有生存期(例如10小时)和可更新生存期(例如7天)。只要票证仍然有效且可以续签,您就可以请求“免费”续签(无需密码),并且生命周期计数器将重置(例如,再过10小时)

创建票证时,每个“生存期”设置为3个值中的MIN():

  • KDC服务器配置中设置的最大持续时间(请在“最大使用寿命”和“最大可再生使用寿命”下进行检查)
  • 客户机配置中的标准持续时间,通常在
    /etc/krb5.conf
    中(检查票据下的生命周期和续订生命周期)
  • 客户端请求的显式持续时间(如果有)(例如
    kinit
    命令具有
    -l
    -r
    选项)
一句话:如果您的KDC因为
max_renewable_life=0
而不提供可续期票证,那么客户必须每隔
max_life
一次获得一张新票证(如果他们的本地
ticket_life
更小,则必须获得更少的票证)

PS:如果票证存储在默认缓存中,那么您可以使用
klist
来检查(可更新的)生命周期的结束时间。
PPS:我记得有人抱怨JavaAPI(JAAS)不允许应用程序请求可更新的Kerberos票证。。。检查是否仍然是这样