Red Hat Training

A Red Hat training course is available for RHEL 8

41.8. 为用户配置单独的身份验证指示器票据策略

作为管理员,您可以为每个身份验证指示器不同的用户定义 Kerberos ticket 策略。例如,您可以将策略配置为允许 IdM admin 用户如果通过 OTP 身份验证获取了票据,则可续订两天的票据;如果通过智能卡验证获取了一周时间,则可以将其配置为允许 IdM admin 用户续订票据。

这些每个身份验证指示符设置将覆盖用户的默认票据策略 、全局默认票据策略 ,以及任何全局身份验证指示器票据策略

使用 ipa krbtpolicy-mod username 命令,根据用户 Kerberos 票据所附加的 验证指示 符,为用户 Kerberos 票据设置自定义最大生命周期和最大可用期限值。

流程

  1. 例如,如果使用 One-Time Password 身份验证获得 Kerberos ticket,请设置 --otp-maxrenew 选项:

    [root@server ~]# ipa krbtpolicy-mod admin --otp-maxrenew=$((2*24*60*60))
      OTP max renew: 172800
  2. 可选:为用户重置 ticket 策略:

    [root@server ~]# ipa krbtpolicy-reset username

验证步骤

  • 显示应用到用户的有效 Kerberos ticket 策略:

    [root@server ~]# ipa krbtpolicy-show admin
      Max life: 28800
      Max renew: 86640

其它资源