Re: MIT-Kerberos KDC: Tickets können nicht erneuert werden, da max. Verlängerungstermin = Ausstellungstermin [gelöst]

To: debian-user-german@lists.debian.org
Subject: Re: MIT-Kerberos KDC: Tickets können nicht erneuert werden, da max. Verlängerungstermin = Ausstellungstermin [gelöst]
From: "S. Kokel" <linux@kokel.net>
Date: Sat, 29 Jan 2011 11:53:14 +0100
Message-id: <[🔎] ii0rip$ueo$1@dough.gmane.org>
In-reply-to: <[🔎] 4D42B3EC.2090504@cgv.tugraz.at>
References: <[🔎] 4D41DE82.4010701@kokel.net> <[🔎] 4D42B3EC.2090504@cgv.tugraz.at>

Danke für die Antwort, so etwas hatte ich schon probiert, das ist es
aber nicht. Ich habe die Lösung nun gefunden. Sie lautet:

kadmin.local: modprinc -maxlife "1 day" -maxrenewlife "90 day" \
krbtgt/EXAMPLE.COM@EXAMPLE.COM

Man hätte nur das Tutorial nur bis zum Ende lesen müssen, da steht alles
drin. Wer auch mal eine Umstellung eines KDC auf LDAP vor hat, dem kann
ich das folgende Tutorial nur empfehlen:

http://www.rjsystems.nl/en/2100-kerberos-openldap-provider.php#life

Viele Grüße

Sten

Am 28.01.2011 13:17, schrieb Lars Schimmer:
> On 2011-01-27 22:07, S. Kokel wrote:
>> Hallo Gruppe,
>>
>> ich schlage micht seit ein paar Tagen mit dem Aufziehen einer LDAP +
>> Kerberos Struktur für Nutzerverwaltung und Authentifizierung rum. Der
>> KDC speichert seine Informationen in LDAP. Alle Dienste laufen unter
>> testing. Funktioniert eigentlich alles ganz gut. Die vom KDC
>> ausgestellten Tickets sehen aber wie folgt aus:
>>
>> $ klist -f
>> Ticket cache: FILE:/tmp/krb5cc_1110_Wa4110
>> Default principal: sten@KOKEL.NET
>>
>> Valid starting     Expires            Service principal
>> 01/27/11 20:56:44  01/27/11 22:56:44  krbtgt/KOKEL.NET@KOKEL.NET
>>          renew until 01/27/11 20:56:44, Flags: FPRIA
>> 01/27/11 21:43:34  01/27/11 22:56:44  nfs/storage.kokel.net@KOKEL.NET
>>          renew until 01/27/11 20:56:44, Flags: FPRAT
>> $ krenew
>> krenew: error renewing credentials: Ticket expired
>>
>> Man beachte die Zeitangaben für "Valid starting" und "renew until" beim
>> TGT. Die sind identisch, d.h. das Ticket kann nicht erneuert werden. Ein
>> Aufruf von krenew bestätigt das mit der Meldung "Ticket expired".
>> Trotzdem ist des Ticket als renewable gekennzeicnet (R-Flag ist gesetzt).
>>
>> Auf dem KDC habe ich für den Realm KOKEL.NET folgende Zeitwerte und
>> Flags eingestellt:
>>
>> max_life = 2h 0m 0s
>> max_renewable_life = 30d 0h 0m 0s
>> default_principal_flags = +preauth
>>
>> Im LDAP sind die Attribute krbMaxRenewableAge und krbMaxTicketLife nicht
>> gesetzt. Auch wenn ich die setze zeigt das keine Wirkung.
> 
> Versuche mal max_life auf 10h zu setzen und max_renewable auf 7d.
> So lief das jedenfalls hier mit dem OpenAFS mal zusammen.
> 
>> Vielen Dank für jeden Hinweis!
>>
>> Sten
>>
>>
> 
> 
> MfG,
> Lars Schimmer

Reply to:

References:
- MIT-Kerberos KDC: Tickets können nicht erneuert werden, da max. Verlängerungstermin = Ausstellungstermin
  - From: "S. Kokel" <linux@kokel.net>
- Re: MIT-Kerberos KDC: Tickets können nicht erneuert werden, da max. Verlängerungstermin = Ausstellungstermin
  - From: Lars Schimmer <l.schimmer@cgv.tugraz.at>

Prev by Date: Re: Content Management System für private Homepage?
Next by Date: Re: KDE 3.5 - Grafische Oberfläche startet nicht mehr
Previous by thread: Re: MIT-Kerberos KDC: Tickets können nicht erneuert werden, da max. Verlängerungstermin = Ausstellungstermin
Next by thread: Re: .iso umwandeln
Index(es):
- Date
- Thread