Назад | Перейти на главную страницу

Срок действия продления MIT Kerberos не работает

Я пытаюсь понять, почему мои билеты имеют возобновляемый срок службы только 0, а не 7 дней, как я указал.

Я попытался установить как max_renewable_life (как указано в другом вопросе), а также renew_lifetime до 7 дней (7d и 856800) в моих krb5.conf и kdc.conf, но это не сработало. Я поставил их под [realms](krb5 / kdc) и [libdefaults](krb5), но демон, похоже, игнорирует этот параметр. В ticket_lifetime однако работает.

Я выполнил следующие команды (ненужный вывод удален):

$ kinit -r 20m -l 10m PRINCIPAL
$ klist -f
Valid starting       Expires              Service principal
04.03.2020 19:18:46  04.03.2020 19:28:44  krbtgt/REALM@REALM
    renew until 04.03.2020 19:18:46, Flags: RIA

Как видите, максимальный срок службы кинита работает как шарм, но обновление ничего не даст.

В своем разочаровании я тоже установил их на клиенте, но безуспешно. Я знаю о maxlife директора и установил его на 7 дней, но это тоже не сработало для меня.

Если это поможет: я использую FreeBSD (FreeNAS) и сам скомпилировал керберос. Есть ли какой-то другой параметр, который можно использовать, или, возможно, мне нужно установить параметр времени компиляции?

Изменить 1:

$ kadmin                                                                       
kadmin:  getprinc comfix
Principal: comfix@REALM
Expiration date: [never]
Last password change: Mi Mär 04 21:00:00 CET 2020
Password expiration date: [never]
Maximum ticket life: 0 days 10:00:00
Maximum renewable life: 7 days 00:00:00
Last modified: Mi Mär 04 21:02:47 CET 2020 (comfix/admin@REALM)
Last successful authentication: Mi Mär 04 22:14:13 CET 2020
Last failed authentication: [never]
Failed password attempts: 0
Number of keys: 2
Key: vno 1, aes256-cts-hmac-sha1-96
Key: vno 1, aes128-cts-hmac-sha1-96
MKey: vno 1
Attributes: REQUIRES_PRE_AUTH DISALLOW_SVR
Policy: [none]

Решение:

есть 4 настройки (точнее 5, но 5-я kinit -r TIME сам параметр), где берется минимум всего:

  1. krb5.conf: REALM = { max_renewable_life = 7d }
  2. kdc.conf: REALM = { max_renewable_life = 7d }
  3. ПРИНЦИПАЛ @ REALM: Maximum renewable life: 7 days 00:00:00 * [1]
  4. krbtgt / REALM @ REALM: Maximum renewable life: 7 days 00:00:00 * [1]

[1] (устанавливается через modprinc -maxrenewlife PRINCIPAL в кадмине)

Про 4-й забыл / не знал. После того, как я установил продление жизни, все заработало как положено. Я подумал, что когда я создал область, параметры в kdc.conf и krb5.conf не были установлены, а значение Kerberos по умолчанию равно 0 секундам ...