Manchmal könnte es passieren, das bspw. der NFSv4 Zugriff nicht mehr klappt, da das authorisierende kerberos ticket nicht mehr gültig ist. Mittels dem Kommando
klist
würde man dann eine Expiration erkennen.
Die grundsätzliche maximale Lebensdauer, sowie die maximale Zeit, in der der Client eine Erneuerung selbstständig durchführen kann, ist serverseitig in der Datei /etc/krb5kdc/kdc.conf festgelegt.
max_life = 1d
max_renewable_life = 14d 0h 0m 0s
wäre ein Beispiel, wobei der zweite Einträg extra die möglichen syntaktischen Möglichkeiten darstellt.
Die tatsächliche Fristen bestimmt, dann aber der Client mit seinen Einträgen in der Datei /etc/krb5.conf
[libdefaults]
…
ticket_lifetime = 24h
renew_lifetime = 10d
Dadurch legt der Client nun fest, dass das erhaltene Ticket 24 Stunden gültig ist und er es 10 Tage lang erneuern kann.
Falls es trotz dieser Einstellungen zu einer vorzeitigen Expiration des Tickets kommt, sollte man das Principal, welches für das Ticket verantwortlich ist, auf dem KDC genauer ansehen. Die oben erwähnte Konfiguration der maximalen Lebensdauer wird natürlich nicht auf schon erstellte Principals angewendet, falls sie nachträglich geändert wird. Und in der Anfangskonfiguration des KDC sind diese Werte recht gering eingestellt. Daher sollte man auf der kadmin Konsole
myhost:> kadmim -p myAdminAccount
kadmin:> getprinc myPrincipal
überprüfen was für Zeiten das Principal tatsächlich aufweist. Ist es auf einen alten Stand, kann man es bspw. folgendermaßen ändern
kadmin:> modify_principal -maxlife 1 day myPrincipal
kadmin:> modify_principal -maxrenewlife 14 days myPrincipal