aklog: avoid infinite lifetime tokens by default 28/13828/12
authorYadavendra Yadav <yadayada@in.ibm.com>
Wed, 28 Aug 2019 11:56:41 +0000 (16:56 +0530)
committerBenjamin Kaduk <kaduk@mit.edu>
Mon, 23 Sep 2019 21:13:36 +0000 (17:13 -0400)
commit1de602aaada15df1008140784092c2a76a2613a1
treea35ac36b871a62e9376ef37631b75f558c7c9735
parentdc99144da54d12e8a168c3dfb0255e2a40ba321f
aklog: avoid infinite lifetime tokens by default

Currently we get tokens for infinite lifetime using aklog impersonate
feature. Based on inputs from Ben, this was done for server to server
tickets to be valid forever.  However on 1.8.x we have other
mechanisms that were usable for server-to-server authentication with
strong enctypes, so we do not need to provide user level akimpersonate
to generate tokens for infinite lifetime. For this we have added new
option -token-lifetime <hrs>, this can take values from 0 to 720
hours. If 0 is specified it means tokens will have infinite lifetime.
By default 10 hours will be token lifetime for akimpersonate tokens.

Change-Id: I8190be81771b34682cc000ac051888561dc63c2f
Reviewed-on: https://gerrit.openafs.org/13828
Reviewed-by: Benjamin Kaduk <kaduk@mit.edu>
Tested-by: Benjamin Kaduk <kaduk@mit.edu>
src/aklog/aklog.c