Kerberos密钥使用期限

Question

我有一个HTTP服务在我的域上运行。但是对于我的HTTP服务的生命周期是如何决定的，我几乎没有怀疑。 客户端能够使用我的HTTP服务多久？

Answer 1

Kerberos票证具有寿命（例如10小时）和可再生寿命（例如7天）。只要票证仍然有效并且仍然是可更新的，您可以请求“免费”续订 - 不需要密码 - 并重置终生计数器（例如，再次运行10小时）。

当创建票证，每个 “寿命” 被设置为3个值的MIN（）：

• 最大持续时间在KDC服务器配置设置（检查MIT documentation下max_life和max_renewable_life ）
• 标准持续时间在客户端配置，典型地在/etc/krb5.conf（检查MIT documentation下ticket_lifetime和renew_lifetime）
• 客户端请求的明确时间，如果有的话（例如在kinit命令有-l和-r选项）

底线：如果你的KDC不提供可再生的票，因为max_renewable_life = 0那么客户将有每max_life（或更少，如果他们的当地ticket_lifetime更小）获得新票。

PS：如果票证存储在默认缓存中，那么您可以使用klist来检查结束（可再生）寿命。
PPS：我记得一些关于Java API（JAAS）的抱怨，它们不允许应用程序请求可更新的Kerberos票据......检查它是否仍然如此。