kerberos票证生存周期
一、基本概念
Kerberos ticket 有两种生命周期,ticket timelife (票据生命周期) 和 renewable lifetime (可再生周期)。
- 当 ticket lifetime 结束时,该 ticket 将不再可用。
- 如果 renewable lifetime > ticket lifetime ,那么在票据生命周期内都可以其进行续期,直到达到可再生周期的上限。
- 当时间达到 renewable lifetime 后,ticket lifetime结束后将不能继续续期,续期时将会报错 KDC can't fulfill requested option while renewing credentials,之后需要重新申请新的 ticket。
- 在安全性方面,与使用较长的生命周期的票据相比,可再生票据的优点是KDC可以拒绝续期请求(例如,如果发现帐户被破坏,并且可再生票据可能在攻击者手中)。
- 可再生周期和 keytabs 无关,如果你没有修改 key 和 principal 的关系,keytabs 将不用关心。
例如:
- ticket_lifetime = 1d
- renew_lifetime = 7d
- 在登陆后的24h内可以对ticket进行续期,直到第一次登陆的7天后将不再允许续期。
- 在24h内如果没有续期,将无法续期。
- 对 ticket 进行一次续期后,ticket_lifetime 将恢复到24h。
二、影响生命周期的因素
- 命令行
- kinit -l lifetime --
如果 -l 参数没有设置,会使用机器上 /etc/krb5.conf 配置的 ticket_lifetime ,但是如果指定的时间长度大于 max_life,则使用 max_life
- kinit -s start_time -- start_time 表示证书延时生效的时间
- kinit -r renewable_life -- 更新 renewable_lifetime 时间
- 客户端配置项 /etc/krb5.conf
- renew_lifetime -- 设置可续约的时长,默认为0。
- ticket_lifetime -- 初始化 ticket 的生命周期,默认是 1day。
- 服务端配置项 /var/kerberos/krb5kdc/kdc.conf
- max_life -- ticket 的默认生命周期,默认为 24h
- max_renewable_life -- ticket 允许被 renew 的最长时期,默认为 0
4. principal数据库里面krbtgt的maximum ticket life
5. 你的principal的maximum ticket life
注意:
tip1:
在创建一个新的 ticket 时,ticket_lifetime 和 renewable_lifetime 由上述五种参数的最小值决定。
tip2:
如果你的 KDC 没有设置 max_renewable_life(max_renewable_life=0),那么在客户端 ticket_lifetime 结束时就会获取一个新的 ticket。
tip3:
如果 ticket 存在默认的缓存中,可以用 klist 检查 ticket 的生命周期或是 kinit -R 更新 ticket 的生命周期。
tip4:
添加一个新的 principal 时,默认使用kdc.conf中的生命周期。如果在新建 principal 后想要对最大生命周期进行修改,可以通过 modprinc -maxrenewlife/-maxlife 进行修改,例如 modprinc -maxlife 00:15:00 test/host1@TONGDUN.COM
posted on 2019-05-07 11:49 gentleman_hai 阅读(2283) 评论(0) 编辑 收藏 举报