Linux Kerberos 策略修改指南

是的，Linux 上的 Kerberos (通常指 MIT Kerberos 或 Heimdal Kerberos 实现) 允许管理员修改各种策略。这些策略控制着密码复杂性、账户锁定、票据生命周期等安全相关设置。

主要可修改的 Kerberos 策略

1. 密码策略

• 最小密码长度
• 密码复杂性要求
• 密码历史记录(防止重复使用)
• 最小密码年龄(防止频繁更改)

2. 账户锁定策略

• 失败尝试次数限制
• 锁定持续时间
• 自动解锁时间

3. 票据(Ticket)策略

• 票据生命周期(Ticket lifetime)
• 可续期票据的最大生命周期(Renewable lifetime)
• 票据可转发性

修改策略的方法

使用 kadmin 或 kadmin.local 工具

1. 连接到 KDC 管理界面：

   kadmin.local  # 在KDC主机上直接运行
   或
   kadmin -p admin_user  # 需要认证
   

2. 常用策略管理命令：

   • 查看现有策略： bash list_policies get_policy policy_name
   • 创建新策略： bash add_policy -minlength 8 -minclasses 3 policy_name
   • 修改现有策略： bash modify_policy -maxlife "1 days" policy_name
   • 删除策略： bash del_policy policy_name
   • 将策略应用到主体： bash modify_principal -policy policy_name principal_name

修改 krb5.conf 文件

全局 Kerberos 配置位于 /etc/krb5.conf，可以修改默认票据生命周期等设置：

[libdefaults]
    default_realm = EXAMPLE.COM
    ticket_lifetime = 24h
    renew_lifetime = 7d

修改 kdc.conf 文件

KDC 特定配置位于 /var/kerberos/krb5kdc/kdc.conf，可以设置策略默认值：

[kdcdefaults]
    kdc_ports = 88

[realms]
    EXAMPLE.COM = {
        max_life = 24h
        max_renewable_life = 7d
        default_principal_flags = +preauth
    }

注意事项

1. 修改策略后，新策略只对新创建的票据或密码更改生效
2. 某些策略修改可能需要重启 KDC 服务： bash systemctl restart krb5kdc systemctl restart kadmin
3. 策略变更可能影响现有用户，建议在非高峰时段进行
4. 始终在修改前备份配置文件

验证策略修改

# 查看特定主体的策略
kadmin -p admin_user -q "get_principal username@REALM"

# 测试票据获取
kinit username
klist

希望这些信息对您管理 Kerberos 策略有所帮助！如需更具体的配置指导，请提供您使用的 Kerberos 实现版本和具体需求。