配置允许的最大票据更新时间
在 MIT Kerberos KDC 中,配置允许的最大票据更新(Renew)时间需要通过修改 KDC 主配置文件 kdc.conf 来实现。
配置文件路径
kdc.conf 文件通常位于:
Ubuntu: /etc/krb5kdc/kdc.conf
RedHat: /var/kerberos/krb5kdc/kdc.conf
实在找不见的话,可以使用以下命令来查找:
sudo find / -name "kdc.conf" 2>/dev/null
修改配置项 max_renewable_life
ref: https://web.mit.edu/kerberos/krb5-1.12/doc/admin/conf_files/kdc_conf.html
在 kdc.conf 中,通过 max_renewable_life 参数设置票据的最大可更新时间(即票据从首次签发到最后一次更新的总有效时长)。
该参数需配置在 [kdcdefaults] 或具体领域(Realm)的配置块中。
参数说明
d:天(例如 7d 表示 7 天)。h:小时(例如 24h 表示 24 小时)。m:分钟(例如 1440m 表示 24 小时)。s:秒
例子
Ubuntu:
[realms] TESTUBUNTU.LOCAL = { database_name = /var/lib/krb5kdc/principal admin_keytab = FILE:/etc/krb5kdc/kadm5.keytab acl_file = /etc/krb5kdc/kadm5.acl key_stash_file = /etc/krb5kdc/stash kdc_ports = 750,88 max_life = 10h 0m 0s max_renewable_life = 7d 0h 0m 0s #master_key_type = aes256-cts # supported_enctypes = aes256-cts:normal aes128-cts:normal default_principal_flags = +preauth anonymous = yes .... }
RedHat
[realms] TEST.TEST ={ master_key_type = aes256-sha2 supported_enctypes = aes256-sha2:special aes128-sha2:special aes256-s max_life = 7d #max_renewable_life = 14d max_renewable_life = 1m acl_file = /var/kerberos/krb5kdc/kadm5.acl dict_file =/usr/share/dict/words default_principal_flags = +preauth admin_keytab=/var/kerberos/krb5kdc/kadm5.keytab .... }
重启 KDC 服务
配置修改之后,需要重启 KDC 服务。
# Systemd 系统(常见于 Linux)sudo systemctl restart krb5-kdc# 旧版 SysVinit 系统sudo service krb5-kdc restart