使用 MIT Kerberos,kadmin 实用程序支持创建具有显式最大票证生命周期和更新生命周期(add_principal 的 -maxlife 和 -maxrenewlife 参数)的主体,这可能不同于领域的默认票证生命周期和更新生命周期。因此,如果您的领域的默认生命周期为 24 小时,续订生命周期为 7 天,则给定的主体可能分别为 1 小时和 1 天。
我试图弄清楚 Active Directory 的 Kerberos 实现是否支持同样的事情。我的直觉说不,但我很难确定地证明这一点,除了无法找到可能启用该功能的帐户的任何明显属性。
任何人都可以确认或否认我的直觉答案吗?
根据我的阅读,没有。这就像密码策略 - 它是在域级别定义的。
http://technet.microsoft.com/en-us/library/cc757692(v=ws.10).aspx#w2k3tr_sepol_accou_set_hpjo
细粒度的密码策略不能用于此,因为它们不包括 Kerberos 设置。
http://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx
很抱歉,看来你运气不好。