Eu segui todas as configurações recomendadas do MIT kerberos. Eu criei um principal e quando eu faço kadmin.local getprinc vejo o seguinte
kadmin.local: getprinc [email protected]
Principal: [email protected]
Expiration date: [never]
Last password change: Sun Mar 13 07:55:56 UTC 2016
Password expiration date: [none]
Maximum ticket life: 1 day 00:00:00
Maximum renewable life: 10 days 00:00:00
Last modified: Sun Mar 13 07:55:56 UTC 2016 (root/[email protected])
Last successful authentication: [never]
Last failed authentication: [never]
Quando faço um kinit e, em seguida, klist , vejo o seguinte (o que está errado porque não vejo uma renew until mm:dd:yy date na resposta
Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: [email protected]
Valid starting Expires Service principal
03/13/2016 07:56:21 03/14/2016 07:56:19 krbtgt/[email protected]
Quando uma solicitação de renovação é feita, vejo isso nos registros
TGS_REQ (1 etypes {23}) 10.0.0.10: TICKET NOT RENEWABLE: authtime 0, [email protected] for krbtgt/[email protected], KDC can't fulfill requested option
Descobrimos que o Service Principal tinha uma duração máxima de renovação de 0 dias. Talvez eu tenha criado isso antes de fazer as alterações do conf ..!
Então esse é o culpado krbtgt/[email protected]
Quando modifiquei o diretor de serviço como abaixo, funcionou ..!
modprinc -maxlife 1days -maxrenewlife 7days +allow_renewable krbtgt/[email protected]