6.3. 令牌策略

本节提供了可基于 TPS UI 针对每个令牌应用的令牌策略列表。Ech 部分将显示每个策略如何反映在配置中。
注意
有关一般信息,请参阅 红帽认证系统 9 规划、安装和部署指南中的 令牌策略 部分。
策略是每个策略的集合,每个策略由分号(";"")分开。每个策略都可以打开或关闭关键字 YESNO。以下列表中的每个策略都会在其默认值中引入 - 如果策略字符串中不存在该设置,则由 TPS 执行的操作。
RE_ENROLL=YES
此策略控制令牌是否允许重新注册操作。这允许重新注册的令牌(带有证书)并给出新的令牌。如果设置为 NO,则服务器在尝试重新注册时会返回错误。
这个策略不需要特殊配置。注册将继续进行标准注册配置文件,该配置文件可能会最初注册令牌。
RENEW=NO;RENEW_KEEP_OLD_ENC_CERTS=YES
续订可让令牌在其配置集生成的证书放置在令牌上。如果 RENEW 设为 YES,则从企业安全客户端(ESC)的简单注册将会导致续订,而不是如上所示的重新注册。
RENEW_KEEP_OLD_ENC_CERTS 设置决定续订操作是否保留加密证书的旧版本。保留前面的证书可让用户访问使用旧证书加密的数据。将此选项设置为 NO,表示任何使用旧证书加密的任何内容都将不再可以被恢复。
配置:
op.enroll.userKey.renewal.encryption.ca.conn=ca1
op.enroll.userKey.renewal.encryption.ca.profileId=caTokenUserEncryptionKeyRenewal
op.enroll.userKey.renewal.encryption.certAttrId=c2
op.enroll.userKey.renewal.encryption.certId=C2
op.enroll.userKey.renewal.encryption.enable=true
op.enroll.userKey.renewal.encryption.gracePeriod.after=30
op.enroll.userKey.renewal.encryption.gracePeriod.before=30
op.enroll.userKey.renewal.encryption.gracePeriod.enable=false
op.enroll.userKey.renewal.keyType.num=2
op.enroll.userKey.renewal.keyType.value.0=signing
op.enroll.userKey.renewal.keyType.value.1=encryption
op.enroll.userKey.renewal.signing.ca.conn=ca1
op.enroll.userKey.renewal.signing.ca.profileId=caTokenUserSigningKeyRenewal
op.enroll.userKey.renewal.signing.certAttrId=c1
op.enroll.userKey.renewal.signing.certId=C1
op.enroll.userKey.renewal.signing.enable=true
op.enroll.userKey.renewal.signing.gracePeriod.after=30
op.enroll.userKey.renewal.signing.gracePeriod.before=30
op.enroll.userKey.renewal.signing.gracePeriod.enable=false
这种类型的续订配置会对基本 用户Key 标准注册配置集进行镜像,并带有几个特定于续订的设置。需要这种奇偶校验的原因是,我们需要续订最初注册到令牌中的 certs 数量和类型,然后再进行续订。
FORCE_FORMAT=NO
如果启用,这个策略会导致每个注册操作都提示操作。这是一个最后一个步骤选项,允许在不用户将其返回到管理员的情况下重置令牌。如果设置为 YES,则用户启动的每个注册操作将导致格式发生,可能会将令牌重置为已格式化状态。
不需要额外的配置。为执行标准格式操作相同的 TPS 配置集出现简单的格式。
PIN_RESET=NO
此策略决定了已经注册的令牌是否可以使用 ESC 执行显式"pin reset"更改。此值必须设置为 YES,否则尝试的操作将拒绝服务器出错。
配置:
op.enroll.userKey.pinReset.enable=true
op.enroll.userKey.pinReset.pin.maxLen=10
op.enroll.userKey.pinReset.pin.maxRetries=127
op.enroll.userKey.pinReset.pin.minLen=4
在上例中,minLenmaxLen 的设置会限制选择密码的长度,maxRetries 设置将令牌设置为仅在锁定前重试次数。
可使用最新的 TPS 用户界面轻松编辑 TPS 策略。导航到需要更改策略的令牌,并点击 Edit。这将弹出一个对话框,供您编辑字段,该字段是连续运行半以冒号分隔的策略的集合。每个支持的策略都必须设置为 < POLICYNAME>=YES<POLICYNAME> =NO,才能被 TPS 识别。