Re: MIT-Kerberos KDC: Tickets können nicht erneuert werden, da max. Verlängerungstermin = Ausstellungstermin
On 2011-01-27 22:07, S. Kokel wrote:
Hallo Gruppe,
ich schlage micht seit ein paar Tagen mit dem Aufziehen einer LDAP +
Kerberos Struktur für Nutzerverwaltung und Authentifizierung rum. Der
KDC speichert seine Informationen in LDAP. Alle Dienste laufen unter
testing. Funktioniert eigentlich alles ganz gut. Die vom KDC
ausgestellten Tickets sehen aber wie folgt aus:
$ klist -f
Ticket cache: FILE:/tmp/krb5cc_1110_Wa4110
Default principal: sten@KOKEL.NET
Valid starting Expires Service principal
01/27/11 20:56:44 01/27/11 22:56:44 krbtgt/KOKEL.NET@KOKEL.NET
renew until 01/27/11 20:56:44, Flags: FPRIA
01/27/11 21:43:34 01/27/11 22:56:44 nfs/storage.kokel.net@KOKEL.NET
renew until 01/27/11 20:56:44, Flags: FPRAT
$ krenew
krenew: error renewing credentials: Ticket expired
Man beachte die Zeitangaben für "Valid starting" und "renew until" beim
TGT. Die sind identisch, d.h. das Ticket kann nicht erneuert werden. Ein
Aufruf von krenew bestätigt das mit der Meldung "Ticket expired".
Trotzdem ist des Ticket als renewable gekennzeicnet (R-Flag ist gesetzt).
Auf dem KDC habe ich für den Realm KOKEL.NET folgende Zeitwerte und
Flags eingestellt:
max_life = 2h 0m 0s
max_renewable_life = 30d 0h 0m 0s
default_principal_flags = +preauth
Im LDAP sind die Attribute krbMaxRenewableAge und krbMaxTicketLife nicht
gesetzt. Auch wenn ich die setze zeigt das keine Wirkung.
Versuche mal max_life auf 10h zu setzen und max_renewable auf 7d.
So lief das jedenfalls hier mit dem OpenAFS mal zusammen.
Vielen Dank für jeden Hinweis!
Sten
MfG,
Lars Schimmer
--
-------------------------------------------------------------
TU Graz, Institut für ComputerGraphik & WissensVisualisierung
Tel: +43 316 873-5405 E-Mail: l.schimmer@cgv.tugraz.at
Fax: +43 316 873-5402 PGP-Key-ID: 0x4A9B1723
Reply to: