gpt4 book ai didi

kerberos - Kerberos 门票的生命周期

转载 作者:行者123 更新时间:2023-12-03 09:20:36 28 4
gpt4 key购买 nike

我已经开始配置 kerberos。

谁能解释我们在 krb5.conf 文件中设置的票证生命周期和更新生命周期。

ticket_lifetime = 2d  
renew_lifetime = 7d

是不是像
  • 2 天后客户会收到新的续订票吗?
  • 7 天后,我是否需要再次创建 key 选项卡并发送到客户端计算机?
  • 最佳答案

    Kerberos 票证有两个生命周期:票证生命周期和可更新生命周期。票证有效期结束后,票证将无法再使用。但是,如果可更新的生命周期长于票证的生命周期,则持有票证的任何人都可以在任一生命周期到期之前的任何时间向 KDC 出示票证并请求新票证。该新票证通常具有从当前时间开始的新票证生命周期,尽管受到可更新票证生命周期的限制。

    这意味着您必须在票证到期之前更新票证。票过期后不能续订。但是更新票证不需要重新输入凭据,例如密码或 keytab 中的 key 。因此,它可以由程序以用户的名义悄悄地完成。 (例如,一些用于 Windows、Linux 和 Mac OS X 的系统后台实用程序可以监视用户的 Kerberos 票证并根据需要将其更新到可更新的生命周期。)

    在可更新的生命周期结束后,或者如果在票证生命周期到期之前没有更新票证,您必须重新输入凭据或使用 key 表中的 key 。

    安全方面,可更新票证相对于仅具有较长生命周期的票证的优势在于 KDC 可以拒绝更新请求(例如,如果发现帐户被盗用并且可更新票证可能在手中攻击者)。

    可再生生命周期与 keytab 没有任何关系。在您更改主体的 key 之前, key 表是好的,可能永远。

    关于kerberos - Kerberos 门票的生命周期,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14682153/

    28 4 0
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com