У меня есть HTTP-служба, работающая на моем домене. Но у меня мало сомнений относительно того, как определяется время жизни для моего HTTP-сервиса. Как долго клиент сможет использовать мой HTTP-сервис?Kerberos key Lifetime
керберос билет имеет срок службы (например, 10 часов) и возобновляемый срок службы (например, 7 дней). Пока билет все еще действителен и по-прежнему доступен для возобновления, вы можете запросить «бесплатное» обновление - не требуется пароль - и счетчик времени жизни сбрасывается (например, 10 часов, чтобы вернуться, снова).
При создании билета, каждый «срок службы» устанавливается как MIN() 3 значений:
/etc/krb5.conf (проверьте MIT documentation под ticket_lifetime и renew_lifetime)kinit имеет -l и -r варианты)Итог: если ваш KDC не может продлеваться билеты, потому что max_renewable_life = 0 тогда клиенты будут иметь чтобы получить новый билет каждые max_life (или меньше, если их местный ticket_lifetime меньше).
PS: если билет хранится в кеше по умолчанию, вы можете использовать klist, чтобы проверить время окончания (возобновляемое).
PPS: Я помню некоторые жалобы на Java API (JAAS), не позволяющие приложениям запрашивать возобновляемые билеты Kerberos ... Проверьте, все ли так.