kerberos ticket 有兩種生命週期,ticket timelife (票據生命週期) 和 renewable lifetime (可再生週期)。當 ticket lifetime 結束時,該 ticket 將不再可用。
如果renewable lifetime > ticket lifetime,那麼在票據生命週期內都可以其進行續期,直到達到可再生週期的上限。
當時間達到renewable lifetime後,ticket lifetime結束後將不能繼續續期,續期時將會報錯kdc can't fulfill requested option while renewing credentials,之後需要重新申請新的 ticket。
在安全性方面,與使用較長的生命週期的票據相比,可再生票據的優點是kdc可以拒絕續期請求(例如,如果發現帳戶被破壞,並且可再生票據可能在攻擊者手中)。
可再生週期和 keytabs 無關,如果你沒有修改 key 和 principal 的關係,keytabs 將不用關心。
例如:在登陸後的24h內可以對ticket進行續期,直到第一次登陸的7天後將不再允許續期。
在24h內如果沒有續期,將無法續期。
對 ticket 進行一次續期後,ticket_lifetime 將恢復到24h。
命令列
客戶端配置項 /etc/krb5.conf
服務端配置項 /var/kerberos/krb5kdc/kdc.conf
tip1: 在建立乙個新的 ticket 時,ticket_lifetime和renewable_lifetime由上述三種引數的最小值決定。
tip2: 如果你的 kdc 沒有設定max_renewable_life(max_renewable_life=0),那麼在客戶端ticket_lifetime結束時就會獲取乙個新的 ticket。
tip3: 如果 ticket 存在預設的快取中,可以用 klist 檢查 ticket 的生命週期或是kinit -r更新 ticket 的生命週期。
tip4: 新增乙個新的 principal 時,預設使用kdc.conf中的生命週期。如果在新建 principal 後想要對最大生命週期進行修改,可以通過modprinc -maxrenewlife/-maxlife進行修改,例如modprinc -maxlife 00:15:00 test/[email protected]
add_one_principal (argv[i],
opt->random_key_flag,
opt->random_password_flag,
opt->use_defaults_flag,
opt->verbose_flag,
opt->password_string,
kdp,
opt->max_ticket_life_string,
opt->max_renewable_life_string,
opt->attributes_string,
opt->expiration_time_string,
opt->pw_expiration_time_string);
君生我未生,我生君已老
君生我未生,我生君已老。君恨我生遲,我恨君生早。恨不生同時,日日與君好。我生君未生,君生我已老。我離君天涯,君隔我海角。我生君未生,君生我已老。化蝶去尋花,夜夜棲芳草。我不知道我是以何種感情把這詩看下去的。只是在看的時候想起你,然後莫名流淚。故事還要從那個炎熱的五月說起,從那個充滿紙醉金迷的上海說起...
君生我未生 我生君已老
你在歡笑,體會童年的快樂的時候,我還沒出現,準確的說,我爸和我媽剛好上 你拿著課本認真學習的時候,我剛剛來到這個世界上,剛剛學會啼哭.看見你曾經的舊照,覺得我們的時代感拉遠了不少,也就幾年而已,感覺你比我多過了幾個世紀。嘴角上揚的時候,是你最帥的樣子,我忍不住想多看你幾眼,又害怕被你發現,又害怕別人...
既生 Redis 何生 LevelDB ?
了解 redis 的同學都知道它是乙個純記憶體的資料庫,憑藉優秀的併發和易用性打下了網際網路項的半壁江山。redis 之所以高效能是因為它的純記憶體訪問特性,而這也成了它致命的弱點 記憶體的成本太高。所以在絕大多數場合,它比較適合用來做快取,長期不被訪問的冷資料被淘汰掉,只有熱的資料快取在記憶體中,...