0
我有一个HTTP服务在我的域上运行。但是对于我的HTTP服务的生命周期是如何决定的,我几乎没有怀疑。 客户端能够使用我的HTTP服务多久?Kerberos密钥使用期限
我有一个HTTP服务在我的域上运行。但是对于我的HTTP服务的生命周期是如何决定的,我几乎没有怀疑。 客户端能够使用我的HTTP服务多久?Kerberos密钥使用期限
Kerberos票证具有寿命(例如10小时)和可再生寿命(例如7天)。只要票证仍然有效并且仍然是可更新的,您可以请求“免费”续订 - 不需要密码 - 并重置终生计数器(例如,再次运行10小时)。
当创建票证,每个 “寿命” 被设置为3个值的MIN():
/etc/krb5.conf
(检查MIT documentation下ticket_lifetime和renew_lifetime)kinit
命令有-l
和-r
选项)底线:如果你的KDC不提供可再生的票,因为max_renewable_life = 0
那么客户将有每max_life
(或更少,如果他们的当地ticket_lifetime
更小)获得新票。
PS:如果票证存储在默认缓存中,那么您可以使用klist
来检查结束(可再生)寿命。
PPS:我记得一些关于Java API(JAAS)的抱怨,它们不允许应用程序请求可更新的Kerberos票据......检查它是否仍然如此。