Kerberos 不签发可更新票证
Posted
技术标签:
【中文标题】Kerberos 不签发可更新票证【英文标题】:Kerberos does not issue renewable tickets 【发布时间】:2018-09-27 16:51:44 【问题描述】:我正在尝试使用密钥表(MIT KDC,Red Hat 7.4)为我的委托人签发可更新票证:
su - newuser
kinit -r 7d -kt /etc/security/keytabs/newuser.service.keytab newuser/mask1.myhost.com@EXAMPLE.COM
看旗帜:
[newuser@mask1 ~]$ klist -f
Ticket cache: FILE:/tmp/krb5cc_2824
Default principal: newuser/mask1.myhost.com@EXAMPLE.COM
Valid starting Expires Service principal
09/27/2018 09:40:32 09/28/2018 09:40:32 krbtgt/EXAMPLE.COM@EXAMPLE.COM
Flags: FI
我的 /etc/krb5.conf 有
[libdefaults]
renew_lifetime = 7d
forwardable = true
default_realm = EXAMPLE.COM
ticket_lifetime = 24h
还有我的 /var/kerberos/krb5kdc/kdc.conf
[realms]
EXAMPLE.COM =
#master_key_type = aes256-cts
max_renewable_life = 7d 0h 0m 0s
acl_file = /var/kerberos/krb5kdc/kadm5.acl
dict_file = /usr/share/dict/words
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
default_principal_flags = +renewable
要获得可续签的机票,我缺少什么?
更新: 我可以通过这样做来更新我的门票
kadmin
modprinc -maxrenewlife 7d krbtgt/EXAMPLE.COM@EXAMPLE.COM
modprinc -maxrenewlife 7d +allow_renewable newuser/mask1.myhost.com@EXAMPLE.COM
但这意味着我需要为每个校长都这样做。如何使所有票证默认生成为可更新的?
【问题讨论】:
你怎么不告诉我们Kerberos后端是什么?是活动目录吗?红帽 IdM?麻省理工学院 Kerberos? @T-Heron ,这是 MIT KDC 【参考方案1】:您可以在krb5.conf 文件的the [realms] section 中设置默认值(如renew_lifetime)。
【讨论】:
以上是关于Kerberos 不签发可更新票证的主要内容,如果未能解决你的问题,请参考以下文章