Kerberos

Kerberos - 最長可再生生命週期

  • March 12, 2017

我正在嘗試將已發行 Kerberos 票證的最長可更新生命週期設置為 365 天,但是,我所做的以下更改似乎被忽略了:

在**/etc/krb5.conf**裡面:

[libdefaults]
...
   renew_lifetime = 365d
...

[appdefaults]
   pam = {
   ...
      renew_lifetime = 365d 
   ...
   }

kadmin會話中:

kadmin:  modprinc -maxrenewlife 365day krbtgt/REALM
kadmin:  modprinc -maxrenewlife 365day stefan

然後我繼續通過kinit簽發新票:

$ kinit -r 365d

但是,生成的票證的續訂期限僅為 7 天:

$ klist
Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: stefan@REALM

Valid starting       Expires              Service principal
2017-03-09 21:15:31  2017-03-10 09:15:31  krbtgt/REALM@REALM
   renew until 2017-03-16 21:15:31

我錯過了什麼?我正在使用 MIT Kerberos 版本 1.13.7。

編輯:我通過將max_renewable_life參數添加到領域部分來解決問題。

我通過將max_renewable_life參數添加到領域部分解決了這個問題。

[realms]
   REALM = {
       ...
       max_renewable_life = 365d
   }

引用自:https://serverfault.com/questions/837345