チケットの有効期限

主体がチケットを取得すると、チケット認可チケットであっても、チケットの有効期限は次の中で最も小さい値に設定されます。

• kinit を使用してチケットを取得する場合、kinit の -l オプションに指定した有効期限値

• kdc.conf ファイルで指定される最長有効期限値 (max_life)

• チケットを提供するサービス主体に対し Kerberos データベースに指定されている最長有効期限値。 kinit の場合、サービス主体は krbtgt/realm

• チケットを要求するユーザー主体に対し Kerberos データベースに指定されている最長有効期限値

図 13–1 は、TGT の有効期限の決定方法と 4 つの有効期限値の指定元を示しています。この図は TGT の有効期限がどのようにして決まるかを示しますが、基本的には、どの主体がチケットを取得する場合でも同じです。違いは、kinit で有効期限値を指定しないことと、krbtgt/realm 主体の代わりに、チケットを提供するサービス主体が最長有効期限値を提供することです。

図 13–1 TGT の有効期限の決定方法

「更新可能」チケットの有効期限も次の 4 つの最小値で決まります。ただし、この場合は更新可能有効期限が使用されます。

• kinit を使用してチケットを取得または更新する場合、kinit の -r オプションに指定した更新可能有効期限値

• kdc.conf ファイルに指定された更新可能最長有効期限値 (max_renewable_life)

• チケットを提供するサービス主体に対し Kerberos データベースに指定されている更新可能最長有効期限値。 kinit の場合、サービス主体は krbtgt/realm

• チケットを要求するユーザー主体に対し Kerberos データベースに指定されている更新可能最長有効期限値