Я пытаюсь выяснить, почему мои билеты получают только возобновляемый срок службы 0, а не 7 дней, как я указал.
Я попытался установить как max_renewable_life
(как указано в другом вопросе), так и Renew_lifetime
на 7 дней ( 7d
и 856800
) в моем krb5.conf и kdc.conf, но это не сработало. Я установил их в [realms]
(krb5 / kdc) и [libdefaults]
(krb5), но демон, похоже, игнорирует этот параметр.
ticket_lifetime
, однако, работает.
Я выполнил следующие команды (ненужный вывод отредактирован):
$ kinit -r 20m -l 10m PRINCIPAL
$ klist -f
Valid starting Expires Service principal
04.03.2020 19:18:46 04.03.2020 19:28:44 krbtgt/REALM@REALM
renew until 04.03.2020 19:18:46, Flags: RIA
Как вы можете видеть, максимальный срок службы кинита работает как шарм, но обновление ничего не даст.
К моему разочарованию, я тоже установил их на клиенте, но безуспешно. Я знаю о maxlife
главного пользователя и установил его на 7 дней, но у меня это тоже не сработало.
Если это помогает: я использую FreeBSD (FreeNAS) и сам скомпилировал kerberos . Есть ли какой-то другой параметр, который нужно использовать, или, возможно, мне нужно установить параметр времени компиляции?
Редактировать 1:
$ kadmin
kadmin: getprinc comfix
Principal: comfix@REALM
Expiration date: [never]
Last password change: Mi Mär 04 21:00:00 CET 2020
Password expiration date: [never]
Maximum ticket life: 0 days 10:00:00
Maximum renewable life: 7 days 00:00:00
Last modified: Mi Mär 04 21:02:47 CET 2020 (comfix/admin@REALM)
Last successful authentication: Mi Mär 04 22:14:13 CET 2020
Last failed authentication: [never]
Failed password attempts: 0
Number of keys: 2
Key: vno 1, aes256-cts-hmac-sha1-96
Key: vno 1, aes128-cts-hmac-sha1-96
MKey: vno 1
Attributes: REQUIRES_PRE_AUTH DISALLOW_SVR
Policy: [none]
Решение:
есть 4 настройки (5, если быть точным, но 5-й - это сам параметр kinit -r TIME
), где берется минимум всех :
krb5.conf
: REALM = {max_renewable_life = 7d}
kdc.conf
: REALM = {max_renewable_life = 7d}
Максимальный возобновляемый срок службы: 7 дней 00:00:00
* [1] Максимальный возобновляемый срок службы: 7 дней 00:00:00
* [1] [1] (устанавливается через modprinc -maxrenewlife PRINCIPAL
в kadmin)
Я забыл / не знал о 4-м. После того, как я установил продление жизни, все заработало, как ожидалось. Я решил, что когда я создавал область, параметры в kdc.conf
и krb5.conf
не были установлены, и Kerberos по умолчанию установил значение 0 секунд ...