Kerberos 门票的生命周期答案

【问题标题】：Lifetime of Kerberos ticketsKerberos 门票的生命周期
【发布时间】：2013-01-18 21:09:48
【问题描述】：

我已经开始配置 kerberos。

谁能解释一下我们在 krb5.conf 文件中设置的票证有效期和续订有效期。

ticket_lifetime = 2d  
renew_lifetime = 7d

是这样的

2 天后客户将获得新的续订票吗？
7 天后我是否需要再次创建密钥选项卡并发送到客户端计算机？

【问题讨论】：

我不明白你的主题。
你读过手册页吗？
ok... 我们使用 kinit 在票证过期前更新票证。
再次，如果票证过期，则无法续订，尽管 renew_lifetime 更高。 den需要什么renew_lifetime参数？
我们有一个客户，其 RenewUntil 时间与票证的结束时间相同，尽管 GPO 用户续订的最长生命周期设置为 7 天

标签： kerberos

【解决方案1】：

Kerberos 票证有两个生命周期：票证生命周期和可更新生命周期。票证有效期结束后，票证将无法再使用。但是，如果可更新的生命周期长于票证的生命周期，则持有票证的任何人都可以在 either 生命周期到期之前的任何时间向 KDC 出示票证并请求新票证。该新票证通常具有从当前时间开始的新票证生命周期，尽管受到可更新票证生命周期的限制。

这意味着您必须在票证到期之前对其进行续订。票过期后不能续订。但是更新票证不需要重新输入凭据，例如密码或 keytab 中的密钥。因此，它可以由程序以用户的名义悄悄地完成。（例如，一些用于 Windows、Linux 和 Mac OS X 的系统后台实用程序可以监视用户的 Kerberos 票证并根据需要将其更新到可更新的生命周期。）

在可更新的生命周期结束后，或者如果在票证生命周期到期之前没有更新票证，您必须重新输入凭据或使用密钥表中的密钥。

在安全方面，可更新票证相对于仅具有较长生命周期的票证的优势在于 KDC 可以拒绝更新请求（例如，如果发现帐户已被盗用并且可更新票证可能在攻击者手中）。

可再生生命周期与 keytab 没有任何关系。在您更改主体的密钥之前，密钥表是很好的，可能永远。

【讨论】：

我想测试这些值 (renew_lifetime, ticket_lifetime) 我从我的主机 $kinit /@ -kt 做了一个 kinit，我得到了一张有效的票在我的票证缓存中。然后在 renew_lifetime 到期后，我可以再次执行 kinit，并且可以在 ticketcache 中获取票证。这似乎有点令人困惑。 MIT Kerberos 文档说，一旦 renew_lifetime 持续时间结束，票证就不可更新。
当您从 keytab 执行 kinit 时，您不会更新您的票证。您将获得一张全新的票证，使用密钥表中的长期密钥进行身份验证。如上所述，keytab 不会过期。它们相当于 Kerberos 主体的密码。要测试这些值，请使用 klist（将显示更新生命周期）和 kinit -R（更新票证）。
这对我的用户案例来说不是这样，“但是，如果可更新的生命周期长于票证的生命周期，任何持有票证的人都可以在任一生命周期到期之前的任何时间点”。根据我的测试，在我的案例到期前至少 2 分钟，否则“kinit -R”将抛出“init: Ticket expired while renewing credentials”

【解决方案2】：

其中有两个部分是票证最长寿命，默认情况下为 1 天，如 /etc/krb5.conf 文件中的 det。现在，当我们创建任何主体时，它的票证 maxlife 与 krb5.conf 票证_lifetime 的票证相同。如果我们可以更改用户的票证生命周期，请输入命令 modprinc -maxlife "10 hrs" username。

最后，在生成票证时，我们可以设置票证的生命周期。用 kinit 赋予票证生命。

所以有三个生命。

kerberos 票证有效期
principal max ticket life time，将小于或等于 kerberos 生命周期。
kinit 生命周期小于或等于主票证生命周期。

【讨论】：