0
我有一個HTTP服務在我的域上運行。但是對於我的HTTP服務的生命週期是如何決定的,我幾乎沒有懷疑。 客戶端能夠使用我的HTTP服務多久?Kerberos密鑰使用期限
我有一個HTTP服務在我的域上運行。但是對於我的HTTP服務的生命週期是如何決定的,我幾乎沒有懷疑。 客戶端能夠使用我的HTTP服務多久?Kerberos密鑰使用期限
Kerberos票證具有壽命(例如10小時)和可再生壽命(例如7天)。只要票證仍然有效並且仍然是可更新的,您可以請求「免費」續訂 - 不需要密碼 - 並重置終生計數器(例如,再次運行10小時)。
當創建票證,每個 「壽命」 被設置爲3個值的MIN():
/etc/krb5.conf
(檢查MIT documentation下ticket_lifetime和renew_lifetime)kinit
命令有-l
和-r
選項)底線:如果你的KDC不提供可再生的票,因爲max_renewable_life = 0
那麼客戶將有每max_life
(或更少,如果他們的當地ticket_lifetime
更小)獲得新票。
PS:如果票證存儲在默認緩存中,那麼您可以使用klist
來檢查結束(可再生)壽命。
PPS:我記得一些關於Java API(JAAS)的抱怨,它們不允許應用程序請求可更新的Kerberos票據......檢查它是否仍然如此。