bilhete kerberos não renovável

Eu segui todas as configurações recomendadas do MIT kerberos. Eu criei um principal e quando eu faço kadmin.local getprinc vejo o seguinte

kadmin.local:  getprinc [email protected]
Principal: [email protected]
Expiration date: [never]
Last password change: Sun Mar 13 07:55:56 UTC 2016
Password expiration date: [none]
Maximum ticket life: 1 day 00:00:00
Maximum renewable life: 10 days 00:00:00
Last modified: Sun Mar 13 07:55:56 UTC 2016 (root/[email protected])
Last successful authentication: [never]
Last failed authentication: [never]

Quando eu faço um kinite klist, em seguida , vejo o seguinte (que está errado porque não vejo uma renew until mm:dd:yydata na resposta

Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: [email protected]

Valid starting       Expires              Service principal
03/13/2016 07:56:21  03/14/2016 07:56:19  krbtgt/[email protected]

Quando uma solicitação de renovação é feita, vejo isso nos registros

TGS_REQ (1 etypes {23}) 10.0.0.10: TICKET NOT RENEWABLE: authtime 0,  [email protected] for krbtgt/[email protected], KDC can't fulfill requested option

centos kerberos user2023507
fonte

Respostas:

Descobriu-se que o Service Principal tinha uma duração máxima de renovação de 0 dias. Talvez eu tenha criado isso antes de fazer as alterações do conf ..!

Então esse é o culpado krbtgt/[email protected]

Quando eu modifiquei o diretor de serviço como abaixo, funcionou ..!

modprinc -maxlife 1days -maxrenewlife 7days +allow_renewable krbtgt/[email protected]

user2023507
fonte

Obrigado por isso! Algo mudou em meu próprio domínio, onde meus ingressos expiraram após as 24h. Eu suponho que eles devem ter sido renovados antes. Eu não tinha modificado nenhum dos meus diretores, então espere que seja devido a um upgrade. Modificando meu principal krbtgt / REALM @ REALM como você mostrou, deu certo!

JFlo