java - “续订至”的 Kerberos 自动更新

Question

使用诸如Kerberos "renew until" auto 之类的关键字，找不到可以解决我的问题的线程，因此在此处发布。

我创建了一个包含以下票证生命周期信息的密钥表

Valid starting: 09/14/2018 13:05:01 
Expires: 09/15/2018 13:05:01
renew until: 09/19/2018 09:26:37

基于Hadoop kerberos 票证自动续订

我可以毫无问题地续订延长到期日期的机票。

现在另一个问题是续订，直到设置为 7 天后到期。

我的问题：

• 哪个命令类似于kinit -R可以自动延长续订日期，这样我就不需要kinit -kt mine.keytab my-principal为我的 keytab 获取新票而重新签发？

• 或者有什么API可以达到同样的效果？使用基于https://www.cloudera.com/documentation/enterprise/5-14-x/topics/sg_kerberos_troubleshoot.html的以下 Hadoop API，我可以执行代码，但在更新之前我找不到更新。

  UserGroupInformation.loginUserFromKeytab(principal, keyPath)
  val currentUser = UserGroupInformation.getCurrentUser()   
  currentUser.checkTGTAndReloginFromKeytab
  val currentUser1 = UserGroupInformation.getLoginUser
  currentUser1.checkTGTAndReloginFromKeytab`
  

  klist显示续订直到部分中的日期保持不变。

编辑：格式化

Answer 1

可再生 TGT

当票证可更新时，会话密钥会定期刷新，而不会发出全新的票证。如果 Kerberos 策略允许可更新的票证，KDC 在它发出的每个票证中设置一个 RENEWABLE 标志，并在票证中设置两个到期时间。一个过期时间限制了当前票证实例的生命周期；第二个过期时间对票证的所有实例的累积生命周期设置了限制。

当前工单实例的到期时间保存在“结束时间”字段中。与不可更新的票据一样，结束时间字段中的值等于开始时间字段中的值加上 Kerberos 策略指定的最长票据寿命的值。持有可更新票证的客户必须在到达结束时间之前将其发送到 KDC 以进行更新（同时还提供新的身份验证器）。当 KDC 收到续订票证时，它会检查 Renew Till 字段中保存的第二个到期时间的值。此值在首次出票时设置。它等于票证开始时间字段中的值加上 Kerberos 策略指定的最大累积票证寿命的值。当 KDC 续订票证时，它会检查以确定续订时间是否尚未到来。如果还没有，

这意味着管理员可以设置 Kerberos 策略，以便必须以相对较短的间隔（例如每天）更新票证。更新票证时，会发布一个新的会话密钥，从而最大限度地减少受损密钥的价值。管理员还可以设置相对较长的累积票证寿命——例如一周或一个月。在该时间结束时，票证将过期并且不再有效续订。

所以更新 - 直到是票的一部分，出于安全原因，它的最大值在服务器端受到限制。设计上没有解决方法。