5.9. 为 IdM 中的用户启用最后一次成功 Kerberos 验证的跟踪
出于性能方面的考虑,在 Red Hat Enterprise Linux 8 中运行的身份管理(IdM)不会存储用户最后一次成功的 Kerberos 验证的时间戳。因此,某些命令(如 ipa user-status )不会显示时间戳。
先决条件
- 您已在 IdM 中获得了管理用户的票据授予票(TGT)。
-
您在执行该流程的 IdM 服务器上有
root访问权限。
流程
显示当前启用的密码插件功能:
# ipa config-show | grep "Password plugin features" Password plugin features: AllowNThash, KDC:Disable Last Success
输出显示
KDC:Disable Last Success插件已启用。插件隐藏了最后一次成功的 Kerberos 身份验证,以防在 ipa user-status 输出中可见。将每个功能的
--ipaconfigstring=feature参数添加到当前启用的ipa config-mod命令中,KDC:Disable Last Success除外:# ipa config-mod --ipaconfigstring='AllowNThash'这个命令只启用
AllowNThash插件。要启用多个功能,请为每个功能单独指定--ipaconfigstring=feature参数。重启 IdM:
# ipactl restart
