Я начал с настройки kerberos.
Может ли кто-нибудь объяснить срок службы билета и продлить срок службы, который мы установили в файле krb5.conf.
ticket_lifetime = 2d
renew_lifetime = 7d
Это похоже на
Билет Kerberos имеет два срока службы: срок службы билета и возобновляемый срок службы. После окончания срока действия билета билет больше не может быть использован. Однако, если срок службы продлевается дольше, чем срок службы билета, любой, кто имеет билет, может в любой момент до истечения срока жизни подавать билет в KDC и запрашивать новый билет. Этот новый билет, как правило, имеет новый срок службы, начиная с текущего времени, хотя и ограничен возобновляемым сроком службы.
Это означает, что вам нужно продлить билет до истечения срока его действия. Вы не можете продлить билет после истечения срока его действия. Но обновление билета не требует повторного ввода учетных данных, таких как пароль или ключ из keytab. Таким образом, это может быть сделано тихо в интересах пользователя программой. (Есть, например, некоторые системные утилиты для Windows, Linux и Mac OS X, которые смотрят пользовательские билеты Kerberos и обновляют их по мере необходимости до возобновляемого срока службы.)
После того, как возобновляемый срок службы исчерпан, или если вы не продлеваете билет до истечения срока действия билета, вам необходимо повторно ввести учетные данные или использовать ключ из keytab.
По соображениям безопасности преимущество возобновляемых билетов над билетами, которые имеют длительный срок службы, заключается в том, что KDC может отклонить запрос на продление (если, например, было обнаружено, что учетная запись была скомпрометирована, а возобновляемый билет может быть в руках атакующего).
Возобновляемые жизни не имеют ничего общего с keytabs. Keytab хорош, пока вы не измените ключ для принципала, потенциально навсегда.
Есть две части этого - это максимальный срок действия билета, который по умолчанию равен 1 день как det в файле /etc/krb 5.conf. Теперь, когда мы создаем какой-либо принцип, его максимальная максимальная максимальная скорость та же, что и для krb5.conf ticket_lifetime. Если мы сможем изменить срок службы билета для пользователя, тогда введите команду modprinc -maxlife "10 часов".
Наконец, при создании билета мы можем установить срок действия этого билета. дайте жизнь билету с помощью kinit.
Итак, есть три жизни.