Red Hat Training

A Red Hat training course is available for RHEL 8

41.2. IdM Kerberos ticket 策略类型

IdM Kerberos ticket 策略实现以下 ticket 策略类型:

连接策略

要保护具有不同安全级别的 Kerberized 服务,您可以定义连接策略以强制执行规则,基于这些规则,客户端用于检索票据获取票据(TGT)。

例如,您可以要求智能卡验证来连接到 client1.example.com,并且需要双因素身份验证才能访问 client2.example.com 上的 testservice 应用。

要强制执行连接策略,请将身份验证指示符与服务相关联。只有服务票据请求中具有所需验证指示的客户端才能访问这些服务。如需更多信息,请参阅 Kerberos 身份验证指示符

ticket 生命周期策略

每个 Kerberos 票据都有一个生命周期和潜在的 续订期限 :您可以在达到最长生命周期前续订票据,但不能超过其最长续订期限。

默认的全局票据生命周期为一天(86400 秒),默认的全局最长续订期限为 1 周(604800 秒)。要调整这些全局值,请参阅 配置全局 ticket 生命周期策略

您还可以自行定义 ticket 生命周期策略: