web-dev-qa-db-ja.com

Kerberosチケットの有効期間

Kerberosの構成から始めました。

誰でもチケットの有効期間を説明でき、krb5.confファイルで設定した有効期間を更新できます。

ticket_lifetime = 2d  
renew_lifetime = 7d

みたいですか

  1. 2日後、クライアントは新しい更新されたチケットを取得しますか?
  2. 7日後、キータブを再度作成してクライアントマシンに送信する必要がありますか?
28
saiyan

Kerberosチケットには、チケットの有効期間と更新可能な有効期間の2つの有効期間があります。チケットの有効期間が終了すると、チケットは使用できなくなります。ただし、更新可能なライフタイムがチケットのライフタイムよりも長い場合、チケットを保持している誰でも、eitherライフタイムが期限切れになる前の任意の時点で、チケットをKDCに提示して新しいチケットを要求できます。更新可能なチケットの有効期間に制約されますが、通常、新しいチケットには現在の日付からの新しいチケットの有効期間が設定されます。

つまり、有効期限が切れる前にチケットを更新する必要があります。有効期限が切れたチケットは更新できません。ただし、チケットを更新する場合、パスワードやキータブのキーなどの資格情報を再入力する必要はありません。したがって、プログラムによってユーザーに代わって静かに実行できます。 (たとえば、Windows、Linux、およびMac OS Xには、ユーザーのKerberosチケットを監視し、必要に応じて更新可能な寿命まで更新するシステムバックグラウンドユーティリティがいくつかあります。)

更新可能な有効期限が切れた後、またはチケットの有効期限が切れる前にチケットを更新しない場合、資格情報を再入力するか、キータブからキーを使用する必要があります。

セキュリティ面では、有効期間が長いチケットよりも更新可能なチケットの利点は、KDCが更新リクエストを拒否できることです(たとえば、アカウントが侵害され、更新可能なチケットが手元にあることが発見された場合)攻撃者の)。

更新可能なライフタイムは、キータブとは関係ありません。キータブは、プリンシパルのキーを潜在的に永久に変更するまで有効です。

48
rra

これには2つの部分があります。チケットの最大有効期間は、デフォルトでは/etc/krb5.confファイルのdetとして1日です。プリンシパルを作成すると、そのチケットmaxlifeはkrb5.conf ticket_lifetimeと同じになります。ユーザーのチケットの有効期間を変更できる場合は、コマンドmodprinc -maxlife "10 hrs" usernameを指定します。

最後に、チケットの生成中に、そのチケットの有効期間を設定できます。チケットの寿命をkinitで指定します。

だから3つの人生があります。

  • kerberosチケットの有効期間
  • 主要な最大チケットの有効期間は、Kerberosの有効期間以下です。
  • 主要なチケットの有効期間以下のkinitの有効期間。
0
Avinav Mishra