Настройка сроков действия и продления билетов Kerberos

Настройка сроков действия и продления пользовательских (TGT) и сервисных (ST) билетов Kerberos, выдаваемых центром распространения ключей (KDC) в составе контроллера домена Эллес, может выполняться следующими способами:

Предварительные требования

Для взаимодействия с контроллерами домена Эллес рекомендуется использовать Kerberos-клиент Heimdal. В этом случае обеспечивается корректная обработка внутренних конфигурационных параметров KDC Эллес.

Использование Kerberos-клиента MIT также возможно, однако необходимо учитывать, что в этом случае сроки действия и продления билетов будут ограничены значениями по умолчанию параметров в krb5.conf, даже если в конфигурации Эллес заданы большие значения.

Для установки Kerberos-клиента Heimdal используйте пакеты:

  • на ОС Astra Linux:

    sudo apt install heimdal-clients

  • на РЕД ОС:

    sudo dnf install heimdal-workstation.x86_64

Для проверки того, что используется Kerberos-клиент Heimdal, выполните:

klist --version
kinit (Heimdal 7.8.0)
Copyright 1995-2014 Kungliga Tekniska Högskolan
Send bug-reports to https://github.com/heimdal/heimdal/issues

Конфигурационные параметры Эллес (smb.conf)

Для настройки сроков действия и продления билетов Kerberos доступны следующие параметры KDC:

  • kdc:user ticket lifetime — максимальный срок действия пользовательского билета (TGT), выдаваемого контроллером домена Эллес, в часах (по умолчанию — 10);

  • kdc:service ticket lifetime — максимальный срок действия сервисного билета (ST), выдаваемого контроллером домена Эллес для доступа к сервисам домена, в часах (по умолчанию — 10);

  • kdc:renewal lifetime — максимальный период, в течение которого TGT может быть обновлен, в часах (по умолчанию — 168).

Значения перечисленных параметров KDC задаются в часах. Суффиксы единиц измерения (h, d, m и т. п.) не поддерживаются.

Пример задания параметров в файле smb.conf (полный путь — /app/inno-samba/etc/smb.conf):

[global]
    ...
    kdc:user ticket lifetime = 12
    kdc:service ticket lifetime = 12
    kdc:renewal lifetime = 120
    ...

Для просмотра срока действия и параметров билетов Kerberos используйте команду:

klist -vf

Пример вывода:

Credentials cache: FILE:/tmp/krb5cc_1000
Principal: User1@ELLES.INNO.TECH
Cache version: 4

Server: krbtgt/ELLES.INNO.TECH@ELLES.INNO.TECH
Client: User1@ELLES.INNO.TECH
Ticket etype: aes256-cts-hmac-sha1-96, kvno 1
Ticket length: 1286
Auth time:  Jan 19 13:19:54 2026
End time:   Jan 20 19:19:54 2026
Ticket flags: enc-pa-rep, pre-authent, initial, forwardable
Addresses: addressless

Server: ldap/dc01@ELLES.INNO.TECH
Client: User1@ELLES.INNO.TECH
Ticket etype: aes256-cts-hmac-sha1-96, kvno 1
Ticket length: 1326
Auth time:  Jan 19 13:19:54 2026
Start time: Jan 19 13:20:00 2026
End time:   Jan 20 01:20:00 2026
Ticket flags: enc-pa-rep, ok-as-delegate, transited-policy-checked, pre-authent, forwardable
Addresses: addressless

Атрибуты групповой политики (GPO)

Для централизованной настройки сроков действия и продления билетов Kerberos используются следующие атрибуты групповой политики:

  • MaxTicketAge — максимальный срок действия пользовательского билета (TGT) в часах;

    Возможные значения:

    • 0 — неограниченный срок действия билета;

    • 1-999 — срок действия билета в часах.

  • MaxServiceAge — максимальный срок действия сервисного билета (ST) в минутах;

    Возможные значения:

    • 0 — неограниченный срок действия билета;

    • 10-999 — срок действия билета в минутах.

  • MaxRenewAge — максимальный период, в течение которого TGT может быть обновлен, в днях.

    Возможные значения:

    • 0 — неограниченный срок действия билета;

    • 1-999 — период обновления билета в днях.

Пример установки значения атрибута в объекте GPO:

samba-tool gpo manage security set {31B2F340-016D-11D2-945F-00C04FB984F9} \
    MaxTicketAge 12

Для применения политики на контроллерах домена Эллес обеспечьте синхронизацию SYSVOL и обновление политик с помощью утилиты samba-gpupdate.

Взаимодействие настроек

При использовании Kerberos-клиента Heimdal итоговые сроки действия и продления билетов определяются по следующему правилу:

Атрибут групповой политики (PGO) Параметр клиента Kerberos (krb5.conf) Параметр KDC (smb.conf) Источник итогового значения

Задан

Не задан

Любое значение

GPO

Не задан

Не задан

Задан

smb.conf

Любое

Задан

Любое

min(krb5.conf, GPO/smb.conf)

Типовые сценарии настройки

Типовые сценарии настройки сроков действия и продления билетов Kerberos в домене Эллес различаются в зависимости от используемого источника конфигурации и его приоритета.

Базовая настройка по умолчанию

Если дополнительные параметры не заданы, используются значения по умолчанию KDC:

  • срок действия TGT — 10 часов;

  • срок действия сервисного билета — 10 часов;

  • период продления TGT — 168 часов.

Изменение сроков на одном контроллере домена

Для изменения сроков действия и продления билетов Kerberos только на одном контроллере домена необходимо задать соответствующие параметры в его локальном файле smb.conf:

  • kdc:user ticket lifetime;

  • kdc:service ticket lifetime;

  • kdc:renewal lifetime.

Данный способ рекомендуется использовать для тестирования, отладки или временной настройки, так как изменения не распространяются на другие контроллеры домена.

Централизованная настройка для всех контроллеров домена

Для задания единых сроков действия и продления билетов Kerberos на всех контроллерах домена рекомендуется использовать групповую политику:

  • MaxTicketAge;

  • MaxServiceAge;

  • MaxRenewAge.

Атрибуты групповой политики имеют более высокий приоритет, чем параметры KDC в smb.conf, и переопределяют их значения после применения политики.

Ограничение сроков на стороне клиента

Для дополнительного ограничения сроков действия и продления билетов на конкретной клиентской машине могут использоваться параметры Kerberos-клиента в файле krb5.conf:

  • ticket_lifetime;

  • renew_lifetime.

Итоговое значение в этом случае определяется как минимальное из значения, заданного на клиенте, и значения, полученного от KDC (через GPO или smb.conf).