Можно ли продлить билет на пересылку Kerberos?

Question

Предположим, у нас есть следующая ситуация: у нас есть машина, которая приобрела свой билет, тогда этот билет был отправлен на другую машину. Может ли другая машина обновить полученный билет?

Другой вопрос - если машина, которая приобрела билет, обновила его, выполните другие машины, на которые был отправлен этот билет, необходимо возобновить этот билет самостоятельно? или он сразу же становится недействительным после того, как первоначальная машина обновит его?

Answer 1

Протокол (RFC 4120) позволяет клиенту направить возобновляемый билет. Все реализации, с которыми я знаком (Windows, MIT и Heimdal), будут иметь возможность возобновить билет после пересылки, если он был отправлен раньше. Итак, вы можете сделать что-то вроде

ssh -K hostname # forward 
kinit -R # renew tticket run inside ssh 

Каждый билет - это его собственная вещь. То есть переадресованный билет отделен от билета перед пересылкой; возобновленный билет, полученный от переадресованного билета, отделен от прямого билета. Он также отделен от любого обновленного билета, полученного из базового билета. Итак, обновление билетов на самом деле обычно не привлекает их. Каждая машина должна нести ответственность за обновление своих билетов, и они не должны вызывать проблемы друг для друга.