票券期限

每当一个授权对象获得一个票券，其中包括一个具有票券授予权的票券，票券的期限就被设定为下列期限值中的最小者:

• 通过kinit 的 -l 选项指定的期限值，如果是用 kinit 来获得票券的话

• kdc.conf file 中所指定的最长期限值 (max_life)

• 在 Kerberos 数据库中为提供票券的服务授权对象指定的最长期限值。(如果是 kinit 的情形，则其服务授权对象为 krbtgt/realm)

• 在 Kerberos 数据库中为请求票券的用户授权对象指定的最长期限值。

图形 7-1 显示一个 TGT 的期限是如何确定的，且说明四个期限值是从何处来的。尽管 图形 7-1 显示一个 TGT 的期限是如何确定的，任何授权对象获得一个票券时的基本情况都是一样的。唯一的区别就是， kinit 不提供一个期限值，而提供票券的服务授权对象提供一个最长期限值 (而不是 krbtgt/realm 授权对象)。

图形 7-1 TGT 的期限是如何确定的

可续延票券期限也是由四个值中的最小者确定的，但是使用的却是可续延期限值:

• 通过 kinit 的 -r 选项指定的可续延期限值，如果 kinit 被用来获得或续延票券的话

• kdc.conf 文件中所指定的最长可续延期限值 (max_renewable_life)

• Kerberos 数据库中为提供票券的服务授权对象指定的最长期限可续延值 (如果是 kinit 的情形，则服务授权对象为 krbtgt/realm)

• Kerberos 数据库中为请求票券的用户授权对象指定的最长期限可续延值