3

マシンで MIT kerberos 5 を使用してユーザーを認証しています。これにより、チケットがユーザーに付与されます。24 時間以上のチケットの maxlife をリセットしたいです。デフォルトでは、kerberos チケットの最大有効期間は 24 時間です。次の手順を試しました。

  1. /var/kerberos/krb5kdc/kdc.conf max-life が見つからなかったので設定を変更しましたmax_life = 168h 0m 0s
  2. デフォルトのticket_lifetime/etc/krb5.conf を 24 時間から ticket_lifetime = 168h 0m 0s
  3. デフォルトでは、プリンシパルの有効期間は Maximum ticket life: 1 days 00:00:00 です。

  4. 次のコマンドで168hに変更しました

    kadmin.local:  modify_principal -maxlife 168hours testkerb

  5. - チケットの最大有効期間: 7 日間 00:00:00 に変更されました

  6. 次にkinit、ユーザーに対して を実行し、 で確認しましklistた。

klist結果は、チケットの有効期限が 24 時間であることを示しています。の出力klistは次のとおりです。

Valid starting     Expires            Service principal
**11/19/14 12:51:59  11/20/14 12:51:59  krbtgt/EXAMPLE.COM@EXAMPLE.COM**
    renew until 11/19/14 12:51:59

誰かが知っている場合は、どこで間違いを犯しているのか教えてください。24時間未満はチケットライフを変更できますが、24時間を超えると反映されませんklist。助けていただければ幸いです。

4

1 に答える 1

4

こんにちは、作業手順を取得したので更新します。kerberos でチケットの最大有効期間をデフォルトの 24 時間から 24 時間以上に変更するには、次の手順に従います。

  1. max_lifeプロパティをファイルに追加し/var/kerberos/krb5kdc/kdc.confます。

    max_life = 168h 0m 0s

  2. /etc/krb5.confファイルを変更しました。

    ticket_lifetime = 168h 0m 0s

  3. デフォルトのプリンシパルのkrbtgt/EXAMPLE.COM@EXAMPLE.COM最大有効期間が変更されました。

    modprinc -maxlife 168hours krbtgt/EXAMPLE.COM@EXAMPLE.COM

チケットの有効期間を最大 7 日間、つまり 168 時間に設定できるようになりました。kinitユーザーに対して実行し、チケットの有効期限を で確認できますklist

kadminコマンドとgetprincを使用して、プリンシパルの状態を確認することもできます。

kadmin:  getprinc krbtgt/EXAMPLE.COM@EXAMPLE.COM
Principal: krbtgt/EXAMPLE.COM@EXAMPLE.COM
Expiration date: [never]
Last password change: Thu Jan 05 15:23:04 EST 2017
Password expiration date: [none]
Maximum ticket life: 0 days 168:00:00
Maximum renewable life: 7 days 00:00:00
Last modified: Fri Jun 30 08:23:23 EDT 2017 (root/admin@EXAMPLE.COM)
Last successful authentication: Fri Jun 30 08:16:47 EDT 2017
Last failed authentication: [never]
Failed password attempts: 0
Number of keys: 4
Key: vno 3, arcfour-hmac, no salt
Key: vno 3, des3-cbc-sha1, no salt
Key: vno 3, des-cbc-crc, no salt
Key: vno 3, aes256-cts-hmac-sha1-96, no salt
MKey: vno 1
Attributes: REQUIRES_PRE_AUTH
Policy: [none]
于 2014-11-19T17:47:00.550 に答える