Kerberos のチケットのlifetime を短くするのは簡単にできるのに、長くするのはできないなぁと思っていたら、チケットの有効期限は以下の4つの minimum 値で決まるらしい。
(1) サーバー側(KDC) のkdc.conf
RHEL/CentOSなら
/var/kerberos/krb5kdc/kdc.conf の
[realms]セクションのmax_life 設定。
Ubuntuなら
/etc/krb5kdc/kdc.conf にあります。
(2)クライアント側 の /etc/krb5.conf
[libdefaults] セクションの ticket_lifetime 設定
(3)ユーザープリンシパル の maxlife
kadmin: modprinc -maxlife 3day user01
などで変更
(4)サービスプリンシパルの maxlife
kadmin: modpronc -maxlife 3day krbtgt/MYDOMAIN.COM
などで変更します。
なお、addprinc で新しくプリンシパルを作成した時の maxlife の初期値は
kdc.conf の max_life 設定で決まるようです。
0 件のコメント:
コメントを投稿