<html><body><div style="color:#000; background-color:#fff; font-family:times new roman, new york, times, serif;font-size:12pt"><div><span>Thank you, Martin. This helps.</span></div><div><span>George</span></div><div><br><blockquote style="border-left: 2px solid rgb(16, 16, 255); margin-left: 5px; margin-top: 5px; padding-left: 5px;">  <div style="font-family: times new roman, new york, times, serif; font-size: 12pt;"> <div style="font-family: times new roman, new york, times, serif; font-size: 12pt;"> <div dir="ltr"> <font size="2" face="Arial"> <hr size="1">  <b><span style="font-weight:bold;">From:</span></b> Martin Kosek <mkosek@redhat.com><br> <b><span style="font-weight: bold;">To:</span></b> george he <george_he7@yahoo.com> <br><b><span style="font-weight: bold;">Cc:</span></b> "freeipa-users@redhat.com" <freeipa-users@redhat.com> <br> <b><span style="font-weight: bold;">Sent:</span></b> Tuesday, July 31, 2012 3:04 AM<br> <b><span
 style="font-weight: bold;">Subject:</span></b> Re: [Freeipa-users] ipa krbtpolicy-mod --maxlife<br> </font> </div> <br>
On 07/30/2012 05:00 PM, george he wrote:<br>> Hello all,<br>> I'm trying to change the krb ticket life time for myself, so I used<br>> ipa krbtpolicy-mod MYUSERNAME --maxlife 360000<br>> but then after I do kinit, my new ticket is still going to expire after 24<br>> hours, which is the default ticket life, even though<br>> ipa krbtpolicy-show MYUSERNAME<br>> returns<br>>   Max life: 360000<br>> What am I missing? I'm using ipa2.2 on FC17.<br>> Thanks,<br>> George<br><br>Hello George,<br><br>I think there are 2 different things being mixed - maximal lifetime which can<br>configured in IPA (KDC) with the krbtpolicy-mod command you just shown and the<br>lifetime of a ticket that is actually requested.<br><br>The requested lifetime is by default 24h, as per krb5.conf man page:<br><br>       ticket_lifetime<br>              The  value  of this tag is the default
 lifetime for initial<br>              tickets.  The default value for the tag is 1 day (1d).<br><br>If you change this default value in krb5.conf or specifically kinit with a<br>chosen lifetime, you should get it:<br><br># ipa krbtpolicy-mod admin --maxlife 172800<br>  Max life: 172800<br><br># kinit -l 2d<br><br># klist<br>Ticket cache: FILE:/tmp/krb5cc_0<br>Default principal: <a ymailto="mailto:admin@REDHAT.COM" href="mailto:admin@REDHAT.COM">admin@REDHAT.COM</a><br><br>Valid starting     Expires            Service principal<br>07/31/12 03:00:17  08/02/12 03:00:14  krbtgt/<a ymailto="mailto:REDHAT.COM@REDHAT.COM" href="mailto:REDHAT.COM@REDHAT.COM">REDHAT.COM@REDHAT.COM</a><br><br>HTH,<br>Martin<br><br><br> </div> </div> </blockquote></div>   </div></body></html>