Come modificare la durata del biglietto predefinito di Kerberos

I nostri server KDC eseguono Ubuntu Dapper (2.6.15-28) o Hardy (2.6.24-19). Il software Kerberos è l'implementazione MIT di Kerberos 5. Per impostazione predefinita, un biglietto Kerberos dura 10 ore. Tuttavia, vorremmo aumentare un po '(per esempio 14 ore) per soddisfare meglio le nostre esigenze. Avevo fatto quanto segue ma la durata del biglietto rimane ancora a 10 ore:

  1. Su tutti i server KDC, impostare il parametro seguente sotto "[ /etc/krb5kdc/kdc.conf ]" in /etc/krb5kdc/kdc.conf e riavviare il daemon KDC:

  2. Può Windows integrarsi con LDAP?
  3. ActiveDirectory Kerberos keytab inutilizzabile da Linux
  4. Autenticazione di Google Chrome e Kerberos contro Apache
  5. Autenticazione di OpenBSD contro Active Directory
  6. Kerberos con Backend di OpenLDAP: Password Sync HowTo
  7. Perché è comune nel mondo di avvio per le chiavi ssh essere utilizzato per l'authetication invece di kerberos?
  8.  max_life = 14h 0m 0s 
  9. Via "cadmin", ha cambiato la "maxlife" per un test principale tramite "modprinc -maxlife 14hours".

    "getprinc" mostra che la durata massima del biglietto è di 14 ore: la durata massima dei biglietti: 0 giorni 14:00:00

  10. In una macchina client Kerberos, impostare i seguenti parametri in [libdefaults], [realms], [domain_realm] e [login] in /etc/krb5.conf (ovunque in sostanza dal momento che nulla che provavo aveva funzionato):

     ticket_lifetime = 13hrs default_lifetime = 13hrs 

Con le impostazioni di cui sopra, suppongo che la durata del biglietto sarebbe limitata a 13 ore. Quando faccio k5start -l 14h -t <principal> , vedo che l'ora finale per la linea "rinnovo" è ora 14 ore dall'ora di inizio:

 Valid starting Expires Service principal 04/13/10 16:42:05 04/14/10 02:42:05 krbtgt/<realm>@<realm> renew until 04/14/10 06:42:03 

"-l 13h" avrebbe fatto l'ora di fine nella "rinnovo fino a" linea 13 ore dopo l'ora di inizio.

Tuttavia, il biglietto scade ancora in 10 ore (04/13 16:42:05 – 014/14 02:42:05).

Non sto cambiando i file / i parametri di configuration giusti, non specificando l'opzione giusta per get un biglietto Kerberos o qualcos'altro?

One Solution collect form web for “Come modificare la durata del biglietto predefinito di Kerberos”

Risulta che ho anche dovuto cambiare il parametro "maxlife" anche per il servizio principale. In particolare, ho dovuto fare "modprinc -maxlife 14hours krbtgt / [REALM_in_CAPS]" per get la vita aumentata a 14 ore.

Riassumendo, la durata del biglietto è il minimo dei seguenti valori:

  • max_life in kdc.conf sui server KDC.

  • ticket_lifetime in krb5.conf sulla macchina client.

  • maxlife per l'utente principale.

  • maxlife per il servizio principale "krbtgt / [REALM_in_CAPS]" => quello che avevo perso!

  • ha richiesto la durata della richiesta del biglietto. Per esempio:

    • k5start -l 14h
    • kinit -l 14h
  • maxlife per il servizio di servizio AFS "afs / [realm_in_lower_case]" se vuoi aumentare la durata del tuo token AFS.

Mistero risolto!

Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.