Как долго действителен билет KERBEROS/SPNEGO?

Question

Сценарий:

1) вы внедряете веб-сайт/веб-сервер, который поддерживает SSO (SPNEGO). 2) Клиент подключается к вам и предоставляет вам билет, который действителен, поэтому предоставляется клиенту

Вопрос: На этом этапе следует реализовать некоторый механизм, такой как файл cookie, который позволяет клиенту более длинные генерации билетов (сохранение некоторого значения, которое может быть кэшировано на стороне клиента и использовано для последующих вызовов)? Как долго или сколько запросов я могу почтить один и тот же токен spnego? Я попытался найти ответ на второй вопрос и не смог найти ответ .... Что такое «MAXLIFE» токена, который вы можете создать для токена SPNEGO?

Answer 1

Первый вопрос/ответ явно зависит от вашего удобства. Если у вас есть веб-сайт с браузером, cookie сеанса, например. JSESSIONID, это путь. Если это некоторая библиотека, она должна поддерживать файлы cookie. Хотя, генерация билетов чрезвычайно быстро.

Второй вопрос: не возитесь с билетами. Они не могут быть повторно использованы и будут выдавать исключение: это повтор. Передайте эти жетоны в SSPI/GSS-API и отбросьте контекст, когда auth будет завершен. Как только сервер снова запустит вас, создайте новый контекст и отправьте новый токен.

По умолчанию билет действителен в течение 10 часов в Active Directory, но это может быть изменено администратором. Используйте kerbtray.exe на Windows или klist в Unix, чтобы увидеть всю жизнь ваших билетов.