チケットの有効期間

プリンシパルがチケットを取得すると、チケット許可チケットであっても、チケットの有効期限は次の値のうち最も小さいものに設定されます。

• kinit 使用してチケットを取得する場合、kinit の -l オプションに指定した有効期限値

• kdc.conf ファイルに指定された最長有効期限値 (max_life)

• チケットを提供するサービスプリンシパルに対し Kerberos データベースに指定されている最長有効期限値 (kinit の場合、サービスプリンシパルは krbtgt/realm)

• チケットを要求するユーザープリンシパルに対し Kerberos データベースに指定されている最長有効期限値

図 23-1 で、TGT の有効期限がどのようにして決まるか、4 つの有効期限の値がどこで指定されるかを示します。この図は TGT の有効期限がどのようにして決まるかを示していますが、基本的には、どのプリンシパルがチケットを取得する場合でも同じことです。違いは、kinit で有効期限を与えないことと、krbtgt/realm プリンシパルの代わりに、チケットを提供するサービスプリンシパルが最長有効期限を提供することです。

図 23-1 TGT の有効期限の決め方

「更新可能」チケットの有効期限も次の 4 つの値の最小値で決まります。ただし、この場合は更新可能有効期限の値が使用されます。

• kinit を使用してチケットを取得または継続する場合、kinit の -r オプションに指定した更新可能有効期限値

• kdc.conf ファイルに指定された最長更新可能有効期限値 (max_renewable_life)

• チケットを提供するサービスプリンシパルに対し Kerberos データベースに指定されている最長有効期限更新可能値 (kinit の場合、サービスプリンシパルは krbtgt/realm)

• チケットを要求するユーザープリンシパルに対し Kerberos データベースに指定されている最長有効期限更新可能値