Red Hat Training

A Red Hat training course is available for RHEL 8

41.7. 为用户配置默认 ticket 策略

您可以定义一个仅适用于单个用户的 Kerberos ticket 策略。这些按用户设置会覆盖所有验证指示器的全局票据策略。

使用 ipa krbtpolicy-mod username 命令,并至少指定以下参数之一:

  • --maxlife 最大 ticket 生命周期(以秒为单位)
  • --maxrenew 的最大续订年龄(以秒为单位)

流程

  1. 例如,将 IdM admin 用户的最大票据生命周期设置为两天,将最长续订期限设置为 2 周:

    [root@server ~]# ipa krbtpolicy-mod admin --maxlife=172800 --maxrenew=1209600
      Max life: 172800
      Max renew: 1209600
  2. 可选:为用户重置 ticket 策略:

    [root@server ~]# ipa krbtpolicy-reset admin

验证步骤

  • 显示应用到用户的有效 Kerberos ticket 策略:

    [root@server ~]# ipa krbtpolicy-show admin
      Max life: 172800
      Max renew: 1209600