Я пытаюсь понять, почему мои билеты имеют возобновляемый срок службы только 0, а не 7 дней, как я указал.
Я попытался установить как max_renewable_life
(как указано в другом вопросе), а также renew_lifetime
до 7 дней (7d
и 856800
) в моих krb5.conf и kdc.conf, но это не сработало. Я поставил их под [realms]
(krb5 / kdc) и [libdefaults]
(krb5), но демон, похоже, игнорирует этот параметр. В ticket_lifetime
однако работает.
Я выполнил следующие команды (ненужный вывод удален):
$ kinit -r 20m -l 10m PRINCIPAL
$ klist -f
Valid starting Expires Service principal
04.03.2020 19:18:46 04.03.2020 19:28:44 krbtgt/REALM@REALM
renew until 04.03.2020 19:18:46, Flags: RIA
Как видите, максимальный срок службы кинита работает как шарм, но обновление ничего не даст.
В своем разочаровании я тоже установил их на клиенте, но безуспешно. Я знаю о maxlife
директора и установил его на 7 дней, но это тоже не сработало для меня.
Если это поможет: я использую FreeBSD (FreeNAS) и сам скомпилировал керберос. Есть ли какой-то другой параметр, который можно использовать, или, возможно, мне нужно установить параметр времени компиляции?
Изменить 1:
$ kadmin
kadmin: getprinc comfix
Principal: comfix@REALM
Expiration date: [never]
Last password change: Mi Mär 04 21:00:00 CET 2020
Password expiration date: [never]
Maximum ticket life: 0 days 10:00:00
Maximum renewable life: 7 days 00:00:00
Last modified: Mi Mär 04 21:02:47 CET 2020 (comfix/admin@REALM)
Last successful authentication: Mi Mär 04 22:14:13 CET 2020
Last failed authentication: [never]
Failed password attempts: 0
Number of keys: 2
Key: vno 1, aes256-cts-hmac-sha1-96
Key: vno 1, aes128-cts-hmac-sha1-96
MKey: vno 1
Attributes: REQUIRES_PRE_AUTH DISALLOW_SVR
Policy: [none]
Решение:
есть 4 настройки (точнее 5, но 5-я kinit -r TIME
сам параметр), где берется минимум всего:
krb5.conf
: REALM = { max_renewable_life = 7d }
kdc.conf
: REALM = { max_renewable_life = 7d }
Maximum renewable life: 7 days 00:00:00
* [1]Maximum renewable life: 7 days 00:00:00
* [1][1] (устанавливается через modprinc -maxrenewlife PRINCIPAL
в кадмине)
Про 4-й забыл / не знал. После того, как я установил продление жизни, все заработало как положено. Я подумал, что когда я создал область, параметры в kdc.conf
и krb5.conf
не были установлены, а значение Kerberos по умолчанию равно 0 секундам ...