kerberos - Kerberos 门票的生命周期

Question

我已经开始配置 kerberos。

谁能解释我们在 krb5.conf 文件中设置的票证生命周期和更新生命周期。

ticket_lifetime = 2d  
renew_lifetime = 7d

是不是像

2 天后客户会收到新的续订票吗？

7 天后，我是否需要再次创建 key 选项卡并发送到客户端计算机？

Answer 1

Kerberos 票证有两个生命周期:票证生命周期和可更新生命周期。票证有效期结束后，票证将无法再使用。但是，如果可更新的生命周期长于票证的生命周期，则持有票证的任何人都可以在任一生命周期到期之前的任何时间向 KDC 出示票证并请求新票证。该新票证通常具有从当前时间开始的新票证生命周期，尽管受到可更新票证生命周期的限制。

这意味着您必须在票证到期之前更新票证。票过期后不能续订。但是更新票证不需要重新输入凭据，例如密码或 keytab 中的 key 。因此，它可以由程序以用户的名义悄悄地完成。 (例如，一些用于 Windows、Linux 和 Mac OS X 的系统后台实用程序可以监视用户的 Kerberos 票证并根据需要将其更新到可更新的生命周期。)

在可更新的生命周期结束后，或者如果在票证生命周期到期之前没有更新票证，您必须重新输入凭据或使用 key 表中的 key 。

安全方面，可更新票证相对于仅具有较长生命周期的票证的优势在于 KDC 可以拒绝更新请求(例如，如果发现帐户被盗用并且可更新票证可能在手中攻击者)。

可再生生命周期与 keytab 没有任何关系。在您更改主体的 key 之前， key 表是好的，可能永远。