MIT-Kerberos KDC: Tickets können nicht erneuert werden, da max. Verlängerungstermin = Ausstellungstermin
Hallo Gruppe,
ich schlage micht seit ein paar Tagen mit dem Aufziehen einer LDAP +
Kerberos Struktur für Nutzerverwaltung und Authentifizierung rum. Der
KDC speichert seine Informationen in LDAP. Alle Dienste laufen unter
testing. Funktioniert eigentlich alles ganz gut. Die vom KDC
ausgestellten Tickets sehen aber wie folgt aus:
$ klist -f
Ticket cache: FILE:/tmp/krb5cc_1110_Wa4110
Default principal: sten@KOKEL.NET
Valid starting Expires Service principal
01/27/11 20:56:44 01/27/11 22:56:44 krbtgt/KOKEL.NET@KOKEL.NET
renew until 01/27/11 20:56:44, Flags: FPRIA
01/27/11 21:43:34 01/27/11 22:56:44 nfs/storage.kokel.net@KOKEL.NET
renew until 01/27/11 20:56:44, Flags: FPRAT
$ krenew
krenew: error renewing credentials: Ticket expired
Man beachte die Zeitangaben für "Valid starting" und "renew until" beim
TGT. Die sind identisch, d.h. das Ticket kann nicht erneuert werden. Ein
Aufruf von krenew bestätigt das mit der Meldung "Ticket expired".
Trotzdem ist des Ticket als renewable gekennzeicnet (R-Flag ist gesetzt).
Auf dem KDC habe ich für den Realm KOKEL.NET folgende Zeitwerte und
Flags eingestellt:
max_life = 2h 0m 0s
max_renewable_life = 30d 0h 0m 0s
default_principal_flags = +preauth
Im LDAP sind die Attribute krbMaxRenewableAge und krbMaxTicketLife nicht
gesetzt. Auch wenn ich die setze zeigt das keine Wirkung.
Hat jemand eine Idee, woran das liegen kann, dass die Tickets aufgrund
des angegebenen "renew until" bereits zum Zeitpunkt ihrer Ausstellung
nicht mehr verlängert werden können? Hat das evtl. etwas mit der Option
allow_weak_crypto = true zu tun, die es braucht damit NFS4 funktioniert?
Vielen Dank für jeden Hinweis!
Sten
Reply to: