チケットの有効期間

プリンシパルがチケット (チケット許可チケットも含む) を取得するとき、チケットの有効期間は次の有効期間の中の最小値に設定されます。

• kinit でチケットを取得する場合、kinit の -l オプションで指定した有効期間の値

• kdc.conf ファイルで指定した最大有効期間の値 (max_life)

• チケットを提供するサービスプリンシパルに対して Kerberos データベースで指定した最大有効期間の値 (kinit の場合、サービスプリンシパルは krbtgt/realm)

• チケットを要求するユーザープリンシパルに対して Kerberos データベースで指定した最大有効期間の値

図 7-1 に、TGT の有効期間がどのように決定されるかを示します。また、4 つの有効期間がどのように指定されているのかも示します。図 7-1 は TGT の有効期間がどのように決定されるかを示していますが、プリンシパルがチケットを取得するときも、基本的に同じです。両者の唯一の違いは、kinit が有効期間を提供しないことと、チケットを提供するサービスプリンシパルが (krbtgt/realm プリンシパルの代わりに) 最大有効期間を提供することです。

図 7-1 TGT の有効期間の決定方法

更新可能チケットの有効期間も 4 つの値の最小値から決定されます。しかし、次の場合、更新可能有効期間の値が使用されます。

• kinit でチケットを取得または更新する場合、kinit の -r オプションで指定した更新可能有効期間の値

• kdc.conf ファイルで指定した最大更新可能有効期間の値 (max_renewable_life)

• チケットを提供するサービスプリンシパルに対して Kerberos データベースで指定した最大更新可能有効期間の値 (kinit の場合、サービスプリンシパルは krbtgt/realm)

• チケットを要求するユーザープリンシパルに対して Kerberos データベースで指定した最大更新可能有効期間の値