<html><body><p><font size="2">Hi Simo</font><br><br><font size="2">Thanks, I was hoping you would throw your hat in the ring!</font><br><br><font size="2">The background to the question, is that I have a throwaway Python Kerberos Client using the GSS-API that caches service tickets, an a non-throwaway Java Kerberos Client, also using the GSS-API that does not (yet) cache service tickets. This implies the Java Client could be hammering the KDC with requests. I should now be able to confirm this with </font><tt><font size="2">/var/log/krb5kdc.log</font></tt><font size="2"> on my KDC.</font><br><br><font size="2">On the issue of the Java Client  non-caching service tickets I posted a Stack Overflow question last night.</font><br><br><a href="http://stackoverflow.com/questions/43786908/java-gss-api-service-ticket-not-saved-in-credentials-cache-using-java"><font size="2">http://stackoverflow.com/questions/43786908/java-gss-api-service-ticket-not-saved-in-credentials-cache-using-java</font></a><br><br><font size="2">thanks</font><br><br><font size="2">Chris</font><br><br><img width="16" height="16" src="cid:1__=8FBB0B84DFAD2F238f9e8a93df938690918c8FB@" border="0" alt="Inactive hide details for Simo Sorce ---05/05/2017 11:40:44---On Thu, 2017-05-04 at 18:02 +0200, Christopher Lamb wrote: > Hi A"><font size="2" color="#424282">Simo Sorce ---05/05/2017 11:40:44---On Thu, 2017-05-04 at 18:02 +0200, Christopher Lamb wrote: > Hi All</font><br><br><font size="2" color="#5F5F5F">From:        </font><font size="2">Simo Sorce <simo@redhat.com></font><br><font size="2" color="#5F5F5F">To:        </font><font size="2">Christopher Lamb/Switzerland/IBM@IBMCH, freeipa-users@redhat.com</font><br><font size="2" color="#5F5F5F">Date:        </font><font size="2">05/05/2017 11:40</font><br><font size="2" color="#5F5F5F">Subject:        </font><font size="2">Re: [Freeipa-users] Kerberos clients, service tickets, and client to KDC interaction</font><br><hr width="100%" size="2" align="left" noshade style="color:#8091A5; "><br><br><br><tt><font size="2">On Thu, 2017-05-04 at 18:02 +0200, Christopher Lamb wrote:<br>> Hi All<br>> <br>> Is the following statement correct?<br>> <br>> "If a kerberos client (e.g. a FreeIPA client) holds a service ticket<br>> to a service principal in its credentials cache, it no longer needs<br>> to interact with the KDC to access the service (assuming the ticket<br>> is still valid). i.e. if a kerberos client is not caching service<br>> tickets, each interaction with the service principal will require<br>> getting a new ticket from the KDC."<br><br>Yes this statement is correct.<br><br>> Are there logs on my FreeIPA-Server I can use to track ticket<br>> requests from clients, and prove or disprove my statement above?<br><br>On each KDC you can check /var/log/krb5kdc.log which contains a log of<br>all requests received, if you have multiple IPa servers, you may need<br>to collect all server's logs to see a complete picture as a service may<br>request a ticket from any of the KDCs (although normally an ipa client<br>sticks to the same KDC via a locator plugin for libkrb5 and only falls<br>back to other KDCs if the preferred KDC is unreachable).<br><br>Simo.<br><br></font></tt><br><br><BR>
</body></html>