Giltighetstid för biljetter
Varje gång en principal hämtar en biljett, bl a biljettbeviljarbiljetter, ställs biljettens giltighetstid in som det minsta av följande värden:
-
Värdet för giltighetstiden som anges av alternativet -l för kinit, om kinit används för att hämta biljetten.
-
Värdet för maximal giltighetstid (max_life) som anges i filen kdc.conf.
-
Värdet för maximal giltighetstid som anges i Kerberos-databasen för tjänstprincipalen som tillhandahåller biljetten. (För kinit är tjänstprincipalen krbtgt/användarkategori)
-
Värdet för maximal giltighetstid som anges i Kerberos-databasen för användarprincipalen som efterfrågar biljetten.
Figur 7-1 visar hur giltighetstiden för en TGT bestäms och åskådliggör var de fyra värdena för giltighetstid kommer från. Även om Figur 7-1 visar hur giltighetstiden för en TGT bestäms händer i stort sett samma sak när alla principaler hämtar en biljett. De enda skillnaderna är att kinit inte tillhandahåller ett värde för giltighetstid och att tjänstprincipalen som tillhandahåller biljetten tillhandahåller ett värde för maximal giltighetstid (i stället för principalen krbtgt/användarkategori.)
Figur 7-1 Så avgörs giltighetstiden för en TGT
Giltighetstiden för en förnyelsebar biljett avgörs också av det minsta av fyra värden, men i stället används förnyelsebara tider för giltighetstid:
-
Värdet för den förnyelsebara giltighetstiden som anges av alternativet -r för kinit, om kinit används för att hämta eller förnya biljetten.
-
Värdet för maximal förnyelsebar giltighetstid (max_renewable_life) som anges i filen kdc.conf.
-
Värdet för maximal förenyelsebar giltighetstid som anges i Kerberos-databasen för tjänstprincipalen som tillhandahåller biljetten (för kinit är tjänstprincipalen krbtgt/användarkategori).
-
Värdet för maximal förnyelsebar giltighetstid som anges i Kerberos-databasen för användarprincipalen som efterfrågar biljetten.
- © 2010, Oracle Corporation and/or its affiliates