我有一个在我的域上运行的 HTTP 服务。但是我对如何决定我的 HTTP 服务的生命周期几乎没有疑问。客户端可以使用我的 HTTP 服务多长时间?
问问题
1191 次
1 回答
4
Kerberos 票证具有生命周期(例如 10 小时)和可更新生命周期(例如 7 天)。只要票仍然有效并且仍然可以更新,您就可以请求“免费”更新——不需要密码——并且生命周期计数器被重置(例如,10 小时,再次)。
创建票证时,每个“生命周期”设置为 3 个值的 MIN():
- 在 KDC 服务器配置中设置的最大持续时间(查看max_life和max_renewable_life下的MIT 文档)
- 客户端配置中的标准持续时间,通常在
/etc/krb5.conf
(查看ticket_lifetime和renew_lifetime下的MIT 文档) - 客户端请求的显式持续时间,如果有的话(例如
kinit
命令有-l
和-r
选项)
底线:如果您的 KDC 不提供可更新票证,因为max_renewable_life = 0
客户将不得不每次max_life
(或更少,如果他们的本地ticket_lifetime
较小)获得一张新票证。
PS:如果票证存储在默认缓存中,那么您可以使用klist
来检查(可更新)生命周期的结束时间。
PPS:我记得一些关于 Java API (JAAS) 不允许应用程序请求可更新的 Kerberos 票证的投诉......检查是否仍然如此。
于 2016-07-20T11:25:47.967 回答