Vigencia del cupón
Cada vez que un principal obtiene un cupón, incluidos los cupones de obtención de cupones, se define su vigencia como el más pequeño de los valores de vigencia siguientes:
-
El valor de vigencia especificado por la opción -l de kinit, si se utiliza kinit para obtener el cupón
-
El valor de vigencia máximo (max_life) especificado en el archivo kdc.conf
-
El valor de vigencia máximo especificado en la base de datos de Kerberos para el principal de servicio que proporciona el cupón (en el caso de kinit, el principal de servicio es krbtgt/ámbito)
-
El valor de vigencia máximo especificado en la base de datos de Kerberos para el principal de usuario que solicita el cupón.
Figura 7-1 muestra cómo se determina la vigencia de un TGT e ilustra de dónde provienen los cuatro valores de vigencia. Aunque Figura 7-1 muestra cómo se determina la vigencia de un TGT, básicamente sucede lo mismo cuando cualquier principal obtiene un cupón. Las únicas diferencias son que kinit no proporciona un valor de vigencia y que el principal de servicio que proporciona el cupón proporciona un valor de vigencia máximo (en lugar del principal krbtgt/ámbito ).
Figura 7-1 Determinación de la vigencia de un TGT
La vigencia de los cupones renovables también está determinada por el mínimo de cuatro valores, pero se utilizan en su lugar los valores de vigencia renovables:
-
El valor de vigencia renovable especificado por la opción -r de kinit, si se utiliza kinit para obtener o renovar el cupón
-
El valor de vigencia renovable máximo (max_renewable_life) especificado en el archivo kdc.conf
-
El valor de vigencia renovable máximo especificado en la base de datos de Kerberos para el principal de servicio que proporciona el cupón (en el caso de kinit, el principal de servicio es krbtgt/ámbito)
-
El valor de vigencia renovable máximo especificado en la base de datos de Kerberos para el principal de usuario que solicita el cupón
- © 2010, Oracle Corporation and/or its affiliates