moon - Entradas Lifetime of Kerberos
kerberos voltron (2)
Hay dos partes de esta: la duración máxima del ticket, que es por defecto 1 día como det en el archivo /etc/krb5.conf. Ahora, cuando creamos cualquier principal, su duración máxima del ticket es la misma que la del ticket_lifetime de krb5.conf. Si podemos cambiar el tiempo de vida del ticket para el usuario, a continuación, asigne el comando modprinc -maxlife "10 hrs" nombre de usuario.
Finalmente, mientras generamos el ticket, podemos establecer la vida útil de ese ticket. Dar la vida del boleto con kinit.
Así que hay tres vidas.
- kerberos ticket life time
- tiempo de vida máximo del ticket máximo que será menor o igual que el tiempo de vida de kerberos.
- tiempo de vida de kinit que es menor o igual al tiempo de vida del ticket principal.
He comenzado con la configuración de kerberos.
¿Alguien puede explicar la duración del ticket y renovar la duración que configuramos en el archivo krb5.conf?
ticket_lifetime = 2d
renew_lifetime = 7d
Es como
- ¿Después de 2 días el cliente recibirá el nuevo boleto renovado?
- Después de 7 días, ¿necesito volver a crear las pestañas clave y enviarlas a las máquinas cliente?
Un boleto Kerberos tiene dos vidas: una vida del boleto y una vida renovable. Una vez finalizada la vida útil del ticket, ya no se puede utilizar el ticket. Sin embargo, si la vida útil renovable es más larga que la vida útil del boleto, cualquier persona que tenga el boleto puede, en cualquier momento antes de que caduque la vida, presentar el boleto al KDC y solicitar un nuevo boleto. Ese nuevo boleto generalmente tendrá una duración nueva del boleto desde la hora actual, aunque está restringido por la duración del boleto renovable.
Eso significa que tienes que renovar un ticket antes de que caduque. No puedes renovar un ticket después de que caduque. Pero renovar un ticket no requiere volver a ingresar las credenciales, como una contraseña o la clave de la pestaña de claves. Por lo tanto, se puede hacer en silencio en nombre del usuario por un programa. (Hay, por ejemplo, algunas utilidades en segundo plano del sistema para Windows, Linux y Mac OS X que vigilan los tickets Kerberos del usuario y los renuevan según sea necesario hasta la vida renovable).
Después de que se agote la vida útil renovable, o si uno no renueva el boleto antes de que caduque, tiene que volver a ingresar las credenciales o usar la clave de una ficha.
Desde el punto de vista de la seguridad, la ventaja de los tickets renovables sobre los que tienen una larga vida útil es que el KDC puede rechazar la solicitud de renovación (si, por ejemplo, se descubrió que la cuenta estaba comprometida y que el ticket renovable está en las manos) de un atacante).
Las vidas renovables no tienen nada que ver con las pestañas. Una clave es buena hasta que cambies la clave del principal, potencialmente para siempre.