我已经开始与配置Kerberos。

谁能解释的票据寿命和寿命延长，我们在krb5.conf文件中设置。

ticket_lifetime = 2d  
renew_lifetime = 7d

是像

1. 2天后，客户将获得新的续约票吗？
2. 经过7天做我需要重新创建密钥选项卡，发送给客户机？

一张Kerberos票据有两个寿命：票证生命周期和可再生的寿命。 该票据的生命结束后，不能再使用票据。 但是，如果可再生寿命比票据寿命更长，凡持有该票可以在任期期满之前的任何点，提出把车票给KDC，并要求新的票。 这新的机票一般都会有一个新的票证生命周期追溯至当前时间，虽然受更新票证生命周期的制约。

这意味着你拥有了它过期之前更新票证。 到期后无法续约票。 但更新一票不需要再输入凭据，如密码或从密钥表的关键。 因此，可以通过程序进行悄悄代表用户的。 （有，例如，一些用于Windows，Linux和Mac OS X系统的后台实用程序，看用户的Kerberos票据，并根据需要到可再生能源的寿命延长他们。）

可再生一生后用完，或者如果票据寿命到期之前一个不更新票证，你必须重新输入凭证或使用从密钥表的关键。

安全性的角度来看，可再生能源的门票在票的优势，只是有长寿命是KDC可以拒绝续约请求（如果，例如，它已经发现帐户被盗和可再生票可能会在手中攻击者的）。

可再生寿命没有什么关系keytabs。 直到您更改的主要关键，有可能永远密钥表是好的。

有此一第二部分是票最大的生活这是默认的一天中的/etc/krb5.conf文件DET。 现在，当我们创建任何本金的票maxlife是相同在krb5.conf ticket_lifetime的。 如果我们可以改变生活售票时间为用户，然后发出命令modprinc -maxlife“10个小时”的用户名。

最后同时产生的车票，我们可以设置门票的生活。 给使用kinit票生命。

所以有三个生命。

• Kerberos票据续航时间
• 主最大票寿命时间，这将是小于或等于的Kerberos寿命。
• 寿命的kinit时间其是小于或等于主票寿命。