3

我在我的机器上使用 MIT kerberos 5 对用户进行身份验证。这会将票证授予用户。我想将票的 maxlife 重置超过 24 小时。默认情况下,kerberos 票证的最长生命周期为 24 小时。我尝试了以下步骤:

  1. 更改了/var/kerberos/krb5kdc/kdc.conf 我没有找到 max-life 所以我设置max_life = 168h 0m 0s
  2. /etc/krb5.conf 将默认的ticket_lifetime从24小时更改 为ticket_lifetime = 168h 0m 0s
  3. 默认情况下,主体生命周期是最长票证生命周期:1 天 00:00:00

  4. 我使用以下命令将其更改为 168h

    kadmin.local:  modify_principal -maxlife 168hours testkerb

  5. 它更改为 - 最长票证寿命:7 天 00:00:00

  6. 然后我kinit为用户做了一个并检查klist

结果klist仍然显示票证寿命为 24 小时。的输出klist如下:

Valid starting     Expires            Service principal
**11/19/14 12:51:59  11/20/14 12:51:59  krbtgt/EXAMPLE.COM@EXAMPLE.COM**
    renew until 11/19/14 12:51:59

如果有人知道,请告诉我我在哪里做错了。不到 24 小时我可以更改机票寿命,但超过 24 小时不会反映在klist. 我将不胜感激。

4

1 回答 1

4

嗨,我得到了工作步骤,所以更新它。要将 kerberos 中票证的最大生命周期从默认的 24 小时更改为超过 24 小时,请执行以下步骤:

  1. max_life属性添加到/var/kerberos/krb5kdc/kdc.conf文件中。

    max_life = 168h 0m 0s

  2. 更改了/etc/krb5.conf文件。

    ticket_lifetime = 168h 0m 0s

  3. 更改了默认主体krbtgt/EXAMPLE.COM@EXAMPLE.COM最长生命周期。

    modprinc -maxlife 168hours krbtgt/EXAMPLE.COM@EXAMPLE.COM

现在我们可以将票据寿命设置为 7 天,即 168 小时。我们可以kinit为用户做并检查票的到期时间klist

您还可以使用kadmin命令并getprinc查看主体的状态。

kadmin:  getprinc krbtgt/EXAMPLE.COM@EXAMPLE.COM
Principal: krbtgt/EXAMPLE.COM@EXAMPLE.COM
Expiration date: [never]
Last password change: Thu Jan 05 15:23:04 EST 2017
Password expiration date: [none]
Maximum ticket life: 0 days 168:00:00
Maximum renewable life: 7 days 00:00:00
Last modified: Fri Jun 30 08:23:23 EDT 2017 (root/admin@EXAMPLE.COM)
Last successful authentication: Fri Jun 30 08:16:47 EDT 2017
Last failed authentication: [never]
Failed password attempts: 0
Number of keys: 4
Key: vno 3, arcfour-hmac, no salt
Key: vno 3, des3-cbc-sha1, no salt
Key: vno 3, des-cbc-crc, no salt
Key: vno 3, aes256-cts-hmac-sha1-96, no salt
MKey: vno 1
Attributes: REQUIRES_PRE_AUTH
Policy: [none]
于 2014-11-19T17:47:00.550 回答