Ключ Kerberos

authentication kerberos mit-kerberos kdc klist

568 просмотра

1 ответ

86 Репутация автора

У меня есть служба HTTP, работающая на моем домене. Но у меня мало сомнений относительно того, как определяется срок службы моей службы HTTP. как долго клиент сможет использовать мой HTTP-сервис?

Автор: PeeKay Источник Размещён: 19.07.2016 07:26

Ответы (1)


3 плюса

6989 Репутация автора

Решение

Билет Kerberos имеет срок действия (например, 10 часов) и возможность продления (например, 7 дней). Пока билет все еще действителен и все еще может быть продлен, вы можете запросить «бесплатное» продление - пароль не требуется - и счетчик времени жизни будет сброшен (например, через 10 часов, снова).

При создании заявки каждый «срок действия» устанавливается как MIN () из 3 значений:

  • максимальная продолжительность, установленная в конфигурации сервера KDC (см. документацию MIT в разделах max_life и max_renewable_life )
  • стандартная продолжительность в конфигурации клиента, обычно в /etc/krb5.conf( смотрите документацию MIT в ticket_lifetime и renew_lifetime )
  • явная продолжительность, запрошенная клиентом, если таковая имеется (например, kinitкоманда имеет -lи -rпараметры)

Итог: если ваш KDC не обслуживает возобновляемые билеты, потому что max_renewable_life = 0тогда клиенты должны будут получать новый билет каждый max_life(или меньше, если их локальный номер ticket_lifetimeменьше).

PS: если билет хранится в кэше по умолчанию, вы можете использовать его klistдля проверки времени окончания (возобновления) жизни.
PPS: Я помню некоторые жалобы на то, что Java API (JAAS) не позволяет приложениям запрашивать возобновляемые билеты Kerberos ... Проверьте, все ли еще так.

Автор: Samson Scharfrichter Размещён: 20.07.2016 11:25
Вопросы из категории :
32x32