22.2. 前回成功した Kerberos 認証を追跡する機能の有効化

パフォーマンス上の理由から、Red Hat Enterprise Linux 7.4 以降を実行している IdM は、ユーザーの前回成功した Kerberos 認証のタイムスタンプを保存しません。そのため、ipa user-status などの特定のコマンドはタイムスタンプを表示しません。
ユーザーの前回成功した Kerberos 認証の追跡を有効にするには:
  1. 現在有効化しているパスワードプラグイン機能を表示します。
    # ipa config-show | grep "Password plugin features"
      Password plugin features: AllowNThash, KDC:Disable Last Success
    以下の手順では、KDC:Disable Last Success を除き、機能の名前が必要となります。
  2. 各機能の --ipaconfigstring=feature パラメーターを、KDC:Disable Last Success を除く、現在有効化されている ipa config-mod コマンドに渡します。
    # ipa config-mod --ipaconfigstring='AllowNThash'
    このコマンドでは、AllowNThash プラグインのみを有効にします。複数の機能を有効にするには、--ipaconfigstring=feature パラメーターを複数回指定します。例えば、AllowNThashKDC:Disable Lockout 機能を有効にするには:
    # ipa config-mod --ipaconfigstring='AllowNThash' --ipaconfigstring='KDC:Disable Lockout'
  3. IdM を再起動します。
    # ipactl restart