kerberos票证生存周期

一、基本概念

Kerberos ticket 有两种生命周期，ticket timelife (票据生命周期) 和 renewable lifetime (可再生周期)。

1. 当 ticket lifetime 结束时，该 ticket 将不再可用。
2. 如果 renewable lifetime > ticket lifetime ，那么在票据生命周期内都可以其进行续期，直到达到可再生周期的上限。
3. 当时间达到 renewable lifetime 后，ticket lifetime结束后将不能继续续期，续期时将会报错 KDC can't fulfill requested option while renewing credentials，之后需要重新申请新的 ticket。
4. 在安全性方面，与使用较长的生命周期的票据相比，可再生票据的优点是KDC可以拒绝续期请求(例如，如果发现帐户被破坏，并且可再生票据可能在攻击者手中)。
5. 可再生周期和 keytabs 无关，如果你没有修改 key 和 principal 的关系，keytabs 将不用关心。

 

例如:

• ticket_lifetime = 1d
• renew_lifetime = 7d

1. 在登陆后的24h内可以对ticket进行续期，直到第一次登陆的7天后将不再允许续期。
2. 在24h内如果没有续期，将无法续期。
3. 对 ticket 进行一次续期后，ticket_lifetime 将恢复到24h。

 

二、影响生命周期的因素

1. 命令行

• kinit -l lifetime --

如果 -l 参数没有设置，会使用机器上 /etc/krb5.conf 配置的 ticket_lifetime ，但是如果指定的时间长度大于 max_life，则使用 max_life

• kinit -s start_time -- start_time 表示证书延时生效的时间
• kinit -r renewable_life -- 更新 renewable_lifetime 时间

1. 客户端配置项 /etc/krb5.conf

• renew_lifetime -- 设置可续约的时长，默认为0。
• ticket_lifetime -- 初始化 ticket 的生命周期，默认是 1day。

1. 服务端配置项 /var/kerberos/krb5kdc/kdc.conf

• max_life -- ticket 的默认生命周期，默认为 24h
• max_renewable_life -- ticket 允许被 renew 的最长时期，默认为 0

4. principal数据库里面krbtgt的maximum ticket life

5. 你的principal的maximum ticket life

  

注意：

tip1:

在创建一个新的 ticket 时，ticket_lifetime 和 renewable_lifetime 由上述五种参数的最小值决定。

 

tip2:

如果你的 KDC 没有设置 max_renewable_life（max_renewable_life=0），那么在客户端 ticket_lifetime 结束时就会获取一个新的 ticket。

 

tip3:

如果 ticket 存在默认的缓存中，可以用 klist 检查 ticket 的生命周期或是 kinit -R 更新 ticket 的生命周期。

 

tip4:

添加一个新的 principal 时，默认使用kdc.conf中的生命周期。如果在新建 principal 后想要对最大生命周期进行修改，可以通过 modprinc -maxrenewlife/-maxlife 进行修改，例如 modprinc -maxlife 00:15:00 test/host1@TONGDUN.COM