Ключ Kerberos

Билет Kerberos имеет срок действия (например, 10 часов) и возможность продления (например, 7 дней). Пока билет остается в силе и может быть продлен, вы можете запросить "бесплатное" продление - пароль не требуется - и счетчик времени жизни будет сброшен (например, через 10 часов, снова).

При создании заявки каждый "срок действия" устанавливается как MIN() из 3 значений:

• максимальная продолжительность, установленная в конфигурации сервера KDC (см. документацию MIT в разделах max_life и max_renewable_life)
• стандартная продолжительность в конфигурации клиента, как правило, в /etc/krb5.conf (проверьте документацию MIT в ticket_lifetime и renew_lifetime)
• явная продолжительность, запрошенная клиентом, если таковая имеется (например, kinit команда имеет -l а также -r опции)

Итог: если ваш KDC не обслуживает возобновляемые билеты, потому что max_renewable_life = 0 тогда клиенты должны будут получать новый билет каждый max_life (или меньше, если их местный ticket_lifetime меньше).

PS: если билет хранится в кэше по умолчанию, то вы можете использовать klist проверить время окончания (возобновления) жизни.
PPS: Я помню некоторые жалобы на то, что Java API (JAAS) не позволяет приложениям запрашивать возобновляемые билеты Kerberos... Проверьте, все ли еще так.