Red Hat Training

A Red Hat training course is available for RHEL 8

32.9. IdM のユーザーに対する、最後に成功した Kerberos 認証の追跡の有効化

パフォーマンス上の理由から、Red Hat Enterprise Linux 8 で実行している Identity Management (IdM) には、ユーザーが最後に成功した Kerberos 認証のタイムスタンプが保存されません。そのため、ipa user-status などの特定のコマンドではタイムスタンプが表示されません。

前提条件

  • IdM の管理ユーザーの TGT (Ticket-Granting Ticket) を取得している。
  • 手順を実行している IdM サーバーへの root アクセス権限がある。

手順

  1. 現在有効なパスワードプラグイン機能を表示します。

    # ipa config-show | grep "Password plugin features"
      Password plugin features: AllowNThash, KDC:Disable Last Success

    この出力は、KDC:Disable Last Success プラグインが有効になっていることを示しています。このプラグインにより、最後に成功した Kerberos 認証試行が ipa user-status 出力に表示されなくなります。

  2. 現在有効な ipa config-mod コマンドに、すべての機能の --ipaconfigstring=feature パラメーターを追加します (KDC:Disable Last Success を除く)。

    # ipa config-mod --ipaconfigstring='AllowNThash'

    このコマンドは、AllowNThash プラグインのみを有効にします。複数の機能を有効にするには、機能ごとに --ipaconfigstring=feature パラメーターを個別に指定します。

  3. IdM を再起動します。

    # ipactl restart