Red Hat Training

A Red Hat training course is available for RHEL 8

49.2. IdM Kerberos 票据策略类型

IdM Kerberos 票据策略实现以下票据策略类型:

连接策略

要保护具有不同安全级别的 Kerberos 服务,您可以定义连接策略来强制执行规则,客户端基于这些规则来检索票据授予票(TGT)。

例如,您可以要求智能卡验证来连接到 client1.example.com,并且需要双因素身份验证来访问 client2.example.com 上的 testservice 应用。

要强制执行连接策略,请将 身份验证指标 与服务相关联。只有在服务票据请求中有所需的验证指标的客户端才能访问这些服务。如需更多信息,请参阅 Kerberos 身份验证指标

票据生命周期策略

每个 Kerberos 票据都有一个 生命周期 和一个潜在的 续订期限 :您可以在达到最长生命周期前续订票据,但不能在超过其最长续订期限之后续订票据。

默认的全局票据生命周期为一天(86400 秒),默认的全局最长续订期限为 1 周(604800 秒)。要调整这些全局值,请参阅 配置全局票据生命周期策略

您还可以自行定义您自己的票据生命周期策略: