13.8. Configurer des politiques de tickets d'indicateurs d'authentification individuels pour un utilisateur
En tant qu'administrateur, vous pouvez définir des politiques de tickets Kerberos pour un utilisateur qui diffèrent selon l'indicateur d'authentification. Par exemple, vous pouvez configurer une politique permettant à l'utilisateur IdM admin
de renouveler un ticket pendant deux jours s'il a été obtenu par authentification OTP, et pendant une semaine s'il a été obtenu par authentification par carte à puce.
Ces paramètres par indicateur d'authentification remplaceront la politique de ticket par défaut user’s, la politique de ticket par défaut global et toute politique de ticket d'indicateur d'authentification global.
Utilisez la commande ipa krbtpolicy-mod username
pour définir des valeurs personnalisées de durée de vie maximale et d'âge maximal renouvelable pour les tickets Kerberos d'un utilisateur en fonction des indicateurs d'authentification qui leur sont associés.
Procédure
Par exemple, pour permettre à l'utilisateur d'IdM
admin
de renouveler un ticket Kerberos pendant deux jours s'il a été obtenu avec l'authentification par mot de passe à usage unique, définissez l'option--otp-maxrenew
:[root@server ~]# ipa krbtpolicy-mod admin --otp-maxrenew=$((2*24*60*60)) OTP max renew: 172800
Optionnel : Pour réinitialiser la politique de ticket d'un utilisateur :
[root@server ~]# ipa krbtpolicy-reset username
Verification steps
Afficher la politique de ticket Kerberos effective qui s'applique à un utilisateur :
[root@server ~]# ipa krbtpolicy-show admin Max life: 28800 Max renew: 86640
Ressources supplémentaires
-
Voir les options de l'indicateur d'authentification pour la commande
krbtpolicy-mod
. - Voir Configuration de la politique de billetterie par défaut pour un utilisateur.
- Voir Configuration de la politique globale de cycle de vie des tickets.
- Voir Configuration des politiques globales de tickets par indicateur d'authentification.