kerberos - Kerberosチケットの有効期間

Question

Kerberosの構成から始めました。

krb5.confファイルで設定したチケットの有効期間と更新の有効期間について誰かが説明できますか？

ticket_lifetime = 2d  
renew_lifetime = 7d

のようですか

1. 2日後、クライアントは新しい更新されたチケットを取得しますか？
2. 7日後、キータブを再度作成して、クライアントマシンに送信する必要がありますか？

Answer 1

Kerberosチケットには、チケットの有効期間と更新可能な有効期間の2つの有効期間があります。チケットの有効期間が終了すると、チケットは使用できなくなります。ただし、更新可能な有効期間がチケットの有効期間よりも長い場合、チケットを保持している人は、いずれかの有効期間が切れる前であればいつでも、チケットをKDCに提示して、新しいチケットを要求できます。その新しいチケットは、更新可能なチケットの有効期間によって制約されますが、通常、現在の時刻からの新しいチケットの有効期間があります。

つまり、有効期限が切れる前にチケットを更新する必要があります。有効期限が切れたチケットは更新できません。ただし、チケットを更新するために、パスワードやキータブのキーなどのクレデンシャルを再入力する必要はありません。したがって、プログラムによってユーザーに代わって静かに実行できます。（たとえば、Windows、Linux、およびMac OS Xには、ユーザーのKerberosチケットを監視し、必要に応じて更新可能な有効期間まで更新するシステムバックグラウンドユーティリティがいくつかあります。）

更新可能な有効期間が終了した後、またはチケットの有効期間が切れる前にチケットを更新しない場合は、資格情報を再入力するか、キータブのキーを使用する必要があります。

セキュリティ面では、有効期間が長いチケットに対する更新可能なチケットの利点は、KDCが更新要求を拒否できることです（たとえば、アカウントが侵害され、更新可能なチケットが手元にある可能性があることが発見された場合）攻撃者の）。

再生可能な寿命は、キータブとは何の関係もありません。キータブは、プリンシパルのキーを変更するまで、場合によっては永久に有効です。

Answer 2

これには 2 つの部分があり、/etc/krb5.conf ファイルの det としてデフォルトで 1 日であるチケットの最大寿命です。プリンシパルを作成すると、そのチケットの最大寿命は krb5.conf の ticket_lifetime と同じになります。ユーザーのチケット有効期間を変更できる場合は、コマンド modprinc -maxlife "10 hrs" ユーザー名を指定します。

最後に、チケットの生成中に、そのチケットの寿命を設定できます。kinit でチケットに寿命を与えます。

だから人生は3つ。

• ケルベロス チケットの有効期間
• プリンシパルの最大チケット ライフ タイムは、Kerberos ライフ タイム以下になります。
• プリンシパル チケットの有効期間以下の kinit 有効期間。