34

我已经开始配置 kerberos。

谁能解释我们在 krb5.conf 文件中设置的票证生命周期和更新生命周期。

ticket_lifetime = 2d  
renew_lifetime = 7d

是不是像

  1. 2 天后客户会收到新的续订票吗?
  2. 7 天后,我是否需要再次创建密钥选项卡并发送到客户端计算机?
4

2 回答 2

57

Kerberos 票证有两个生命周期:票证生命周期和可更新生命周期。票证有效期结束后,票证将无法再使用。但是,如果可更新的生命周期长于票证的生命周期,则持有票证的任何人都可以在一生命周期到期之前的任何时间向 KDC 出示票证并请求新票证。该新票证通常具有从当前时间开始的新票证生命周期,尽管受到可更新票证生命周期的限制。

这意味着您必须在票证到期之前更新票证。票过期后不能续订。但是更新票证不需要重新输入凭据,例如密码或密钥表中的密钥。因此,它可以由程序以用户的名义悄悄地完成。(例如,一些用于 Windows、Linux 和 Mac OS X 的系统后台实用程序可以监视用户的 Kerberos 票证并根据需要将其更新到可更新的生命周期。)

在可更新的生命周期结束后,或者如果在票证生命周期到期之前没有更新票证,您必须重新输入凭据或使用密钥表中的密钥。

安全方面,可更新票证相对于仅具有较长生命周期的票证的优势在于 KDC 可以拒绝更新请求(例如,如果发现帐户被盗用并且可更新票证可能在手中攻击者)。

可再生生命周期与 keytab 没有任何关系。在您更改主体的密钥之前,密钥表是好的,可能永远。

于 2013-03-17T03:38:26.957 回答
0

其中有两个部分是票证最大寿命,默认情况下为 1 天,如 /etc/krb5.conf 文件中的 det。现在,当我们创建任何主体时,它的票证 maxlife 与 krb5.conf 票证_lifetime 的票证相同。如果我们可以更改用户的票证生命周期,则使用命令 modprinc -maxlife "10 hrs" username。

最后,在生成票证时,我们可以设置票证的生命周期。用 kinit 赋予票证生命。

所以有三生。

  • kerberos 票证寿命
  • 主体最大票证生命周期将小于或等于 kerberos 生命周期。
  • kinit 生命周期小于或等于主票证生命周期。
于 2014-11-18T05:57:48.073 回答