33.2. Tipos de política de bilhetes da IdM Kerberos

Para proteger os serviços Kerberized com diferentes níveis de segurança, é possível definir políticas de conexão para aplicar regras baseadas em qual mecanismo de pré-autenticação um cliente usou para recuperar um bilhete de passagem (TGT).

Por exemplo, você pode requerer autenticação de cartão inteligente para se conectar a client1.example.com, e requerer autenticação de dois fatores para acessar o aplicativo testservice em client2.example.com.

Para impor políticas de conexão, associar authentication indicators aos serviços. Somente clientes que possuem os indicadores de autenticação necessários em suas solicitações de tíquetes de serviço podem ter acesso a esses serviços. Para mais informações, consulte os indicadores de autenticação Kerberos.

Cada bilhete Kerberos tem um lifetime e um potencial renewal age: você pode renovar um bilhete antes que ele atinja sua vida útil máxima, mas não depois que ele exceda sua idade máxima de renovação.

A duração padrão do bilhete global é de um dia (86400 segundos) e a idade máxima de renovação padrão global é de uma semana (604800 segundos). Para ajustar estes valores globais, consulte Configurando a política global do ciclo de vida do bilhete.

Você também pode definir suas próprias políticas de ciclo de vida de bilhetes: