假定前提
1:你已经知道kerberos是做什么的,有什么用了。
2:操作者叫 zhangsan
| 命令 | 说明 |
|---|---|
| kdestroy | 删除票据 |
| kinit zhangsan | {需要密码}获取张三的票据 票据有效期使用的是默认值,此处是12小时 |
| kinit -l 1h zhangsan | 获取张三的票据,指定过期时间是1小时 过期时间的单位有 s秒 m分钟 h小时 d天 如果时间超过设置最大值,使用最大值 |
| klist | 查看票据 Valid starting 生效时间 Expires 过期时间 renew until 在此时间之前都可以免密续期 |
| kinit -R | 续期,注意不会改变renew until |
客户端的配置文件是 /etc/krb5.conf
Kerberos 凭证(ticket) 有两个属性, ticket_lifetime 和 renew_lifetime。其中 ticket_lifetime 表明凭证生效的时限,一般为24小时。在凭证失效前部分凭证可以延期失效时间(即Renewable), renew_lifetime 表明凭证最长可以被延期的时限,一般为一个礼拜。当凭证过期之后,对安全认证的服务的后续访问则会失败。
参考文章
https://docs.oracle.com/cd/E56344_01/html/E54075/kinit-1.html 中文手册
https://blog.51cto.com/caiguangguang/1383723 kerberos的tgt时间理解
https://www.cnblogs.com/morvenhuang/p/4607790.html Kerberos ticket lifetime及其它