He empezado con la configuración de kerberos.

¿Alguien puede explicar el billete de vida y renovar toda la vida, hemos puesto en el krb5.conf archivo.

ticket_lifetime = 2d  
renew_lifetime = 7d

Es como

  1. Después de 2 días de cliente obtendrá el nuevo renovado billete ?
  2. Después de 7 días necesito para crear la clave de fichas de nuevo y enviar a los equipos cliente?
  • No entiendo tu tema.
  • Tiene usted lea la página man en todo?
  • ok… usamos el comando kinit para renovar el boleto antes de que se expirado.
  • De nuevo, si el billete es vencido, no puede ser renovado, a pesar de que el renew_lifetime es mayor. Den lo que es la necesidad de renew_lifetime parámetro?
  • Tenemos un cliente cuyo RenewUntil tiempo es el mismo como el momento final de las entradas, aunque el GPO máximo de por vida para el usuario de renovación es de 7 días
InformationsquelleAutor saiyan | 2013-02-04

2 Comentarios

  1. 47

    Un ticket de Kerberos tiene dos vidas: un billete de vida y renovables para toda la vida. Después de la final de la entrada de por vida, el billete no puede ser utilizado. Sin embargo, si las renovables vida es más que el billete de toda la vida, cualquiera que tenga el billete puede, en cualquier momento antes de ya sea vida caduca, presentar el boleto a la KDC y pedir un nuevo billete. Que el nuevo billete generalmente tienen un nuevo billete de vida que datan de la hora actual, aunque limitada por las renovables billete de toda la vida.

    Que significa que usted tiene que renovar un billete antes de que caduque. Usted no puede renovar un billete después de que caduque. Pero la renovación de un billete no requiere volver a introducir las credenciales, como una contraseña o la clave de la clave. Por tanto, se puede hacer tranquilamente en el nombre del usuario por un programa. (Hay, por ejemplo, algún sistema de fondo de utilidades para Windows, Linux y Mac OS X que ver el usuario de tickets de Kerberos y renovación de los mismos según sea necesario hasta renovable de la vida.)

    Después de las renovables vida se agota, o si uno no renovar el billete antes de que el billete vida expira, usted tiene que volver a introducir las credenciales o el uso de la tecla de un keytab.

    De seguridad-sabio, la ventaja de energías renovables de los boletos en las entradas que sólo tienen una larga vida útil es que el KDC puede rechazar la renovación solicitud (si, por ejemplo, se había descubierto que la cuenta fue comprometida y renovables billete puede estar en manos de un atacante).

    Renovables vidas no tienen nada que ver con keytabs. Una clave es bueno hasta que usted cambie la clave para que el director, posiblemente para siempre.

    • Quería poner a prueba estos valores (renew_lifetime, ticket_lifetime) hice un kinit de mi host $kinit <userprincipal>/<host>@<REINO> -kt <keytab_path> y me da un billete válido en mi entrada de caché. luego, después de la renew_lifetime de caducidad, puedo hacer la kinit de nuevo, y soy capaz de conseguir las entradas en ticketcache. Esto parece un poco confuso. El MIT Kerberos Documentación dice, el billete no es renovable una vez que el renew_lifetime duración es superior.
    • Cuando usted hace un kinit de una clave, que son la no renovación de su billete. Usted está recibiendo un nuevo billete, que se autentica con el largo plazo clave en el keytab. Como se mencionó anteriormente, keytabs no caducan. Son equivalentes a la contraseña para el principal de Kerberos. Para poner a prueba los valores, el uso de klist (que se mostrará renovar de por vida) y kinit -R (para la renovación de un boleto).
    • Esto no es cierto para mi usercase acerca de esta cláusula «sin Embargo, si las renovables vida es más que el billete de toda la vida, cualquiera que tenga el billete puede, en cualquier momento antes de la vigencia». Por mi prueba, al menos 2 minutos antes de la expiración para mi caso, otheriwse «kinit -R» lanzará «init: el Billete caducado mientras que la renovación de credenciales»
  2. 0

    Hay dos parte de este uno es un billete max la vida, que es por defecto de 1 día como detonante en /etc/krb5.conf archivo. Ahora cuando creamos cualquier director de su billete maxlife es la misma que la de la krb5.conf ticket_lifetime. Si podemos cambiar el billete de tiempo de vida para el usuario, a continuación, dar la orden de modprinc -maxlife «10 horas» nombre de usuario.

    Finalmente, mientras que la generación, el billete se puede establecer la vida de ese billete. dar el billete vida con kinit.

    Así que hay tres la vida.

    • ticket de kerberos tiempo de vida
    • director max billete de tiempo de vida que será menor o igual a kerberos tiempo de vida.
    • kinit tiempo de vida que es menos que o igual a principal billete de tiempo de vida.

Dejar respuesta

Please enter your comment!
Please enter your name here