Kerberos 主体的默认最长寿命为 1 天。我怎样才能将其更改为超过一天或任何可配置的值。我正在做getprinc测试kerb并得到以下内容:
- kadmin.local: getprinc testkerb
- 校长:testkerb@EXAMPLE.COM
- 到期日期:[从不] 最后
- 密码更改: 星期二 11 月 18 日 09:55:08 IST 2014
- 密码到期日期:[无]
- 最长票证寿命:1天 00:00:00
- 最长可再生寿命:0 天 00:00:00
- 最后修改时间: 星期二 11月 18 09:55:08 IST 2014 (工厂/admin@EXAMPLE.COM)
- 上次成功的身份验证:[从不]
- 上次身份验证失败:[从不]
- 失败的密码尝试次数:0
- 键数:6
- 钥匙:vno 1,AES256-cts-HMAC-SHA1-96,无盐
- 钥匙:vno 1,AES128-cts-HMAC-SHA1-96,无盐
- 键: vno 1, des3-cbc-sha1, 无盐
- 按键:vno 1,弧形-hmac,无盐
- 键: vno 1, des-hmac-sha1, 无盐
- 键: vno 1, des-cbc-md5, 无盐
- MKey: vno 1
- 属性:
- 策略:[无]
我想更改突出显示的那个。
嗨,
我得到了工作步骤,所以更新它。若要将 kerberos 中票证的最长生存期从默认的 24 小时更改为超过 24 小时,请执行以下步骤:
Add the max_life property to the /var/kerberos/krb5kdc/kdc.conf file. e.g : max_life = 168h 0m 0s
Changed the /etc/krb5.conf file e.g : ticket_lifetime = 168h 0m 0s
Changed the default principal krbtgt/EXAMPLE.COM@EXAMPLE.COM Maximum Life Time e.g modprinc -maxlife 168hours krbtgt/EXAMPLE.COM@EXAMPLE.COM
现在我们可以将工单寿命设置为 7 天,即 168 小时。我们可以为用户做kinit,并通过klist检查票证的到期时间。