tl;dr - 我如何使用领域或 sssd(未安装 klist)检查用户的 kerberos 票证的详细信息以确认它们正在按照我试图配置的方式进行更新?
嗨 - 我在 Debian 11 系统上,该系统是 AD/域,并结合了 SSSD 和领域。值得注意的是,我没有任何软件包提供我在以前的平台上熟悉的“kinit”、“klist”等命令。
每次域用户登录时,他们都会获得一张新的 kerberos 票证,我相信通过在 /tmp 中创建一个新文件来判断,类似于“/tmp/krb5cc_1922807467_vhNkj5”。这允许他们使用 Windows 凭据访问网络资源。我注意到门票似乎会在 12-24 小时后过期,因此我正在寻找一种方法来请求有效期更长的门票,直到我的域将提供的最大值为止,和/或自动更新现有门票并获得新门票。这样我就可以允许用户使用 cron 安排任务并保证有效的票证可用。
我在 /etc/sssd/sssd.conf 中编辑了一些设置,试图增加可再生生命周期并设置票据的更新间隔并重新启动 sssd 服务。现在我一直在尝试确认这些设置已被采用——我无法找到一种方法来列出活动票证的详细信息。我可以看到我每次登录时都在创建我的票证文件,但无法判断它是否在我为测试目的设置的短时间间隔内更新。
有没有办法使用 sssd、realm 或我可能已经安装/启用的其他东西来显示用户的票证状态/详细信息?如果没有,是否有另一个我可以安装的包(例如提供 klist 的东西)不会破坏我现有的领域/sssd 配置并且不需要 AD 管理员凭据?最终,我只想要一种方法来确认我的尝试是否有效。