Dmitriy_Demon
Участник
- Регистрация
- 29.07.24
- Сообщения
- 8
- Реакции
- 0
У нас есть контуре есть потребность установки времени жизни билета (Kerberos ticket) не более 4 часов с возможностью продления до 3 суток.
в значениях /etc/sssd/sssd.conf
krb5_lifetime = 4h
krb5_renewable_lifetime = 3d
krb5_renew_interval = 360s
Но Kerberos сервер в ALDPro продолжает продлевать билеты для пользователей которые заблокированы в ALDPro. т.е. Доступ к системам у заблокированного пользователя сохраняется. Доступны и системы которые напрямую контролирует ALDPro а также системы через SSO типа KeyCloack.
Куда можно глянуть чтобы изменить поведение Kerberos Server в составе ALDPro? и закрыть эту дыру т.к. сейчас крайне не секурно выходит.
Просьба не предлагать уровнять krb5_lifetime = krb5_renewable_lifetime. т.к. это недопустимо в случае длинного билета сточки зрения безопасности а во втором сточки зрения того что Astra Linux не контролирует истечение билета и не предупреждает пользователя и не предпринимает действий для обновления билета (Kerberos ticket))
в значениях /etc/sssd/sssd.conf
krb5_lifetime = 4h
krb5_renewable_lifetime = 3d
krb5_renew_interval = 360s
Но Kerberos сервер в ALDPro продолжает продлевать билеты для пользователей которые заблокированы в ALDPro. т.е. Доступ к системам у заблокированного пользователя сохраняется. Доступны и системы которые напрямую контролирует ALDPro а также системы через SSO типа KeyCloack.
Куда можно глянуть чтобы изменить поведение Kerberos Server в составе ALDPro? и закрыть эту дыру т.к. сейчас крайне не секурно выходит.
Просьба не предлагать уровнять krb5_lifetime = krb5_renewable_lifetime. т.к. это недопустимо в случае длинного билета сточки зрения безопасности а во втором сточки зрения того что Astra Linux не контролирует истечение билета и не предупреждает пользователя и не предпринимает действий для обновления билета (Kerberos ticket))
Вложения
Последнее редактирование: