13.2. Types de politiques de ticket IdM Kerberos

Pour protéger les services Kerberisés avec différents niveaux de sécurité, vous pouvez définir des stratégies de connexion pour appliquer des règles basées sur le mécanisme de préauthentification qu'un client a utilisé pour récupérer un ticket d'attribution de ticket (TGT).

Par exemple, vous pouvez exiger une authentification par carte à puce pour vous connecter à client1.example.com, et exiger une authentification à deux facteurs pour accéder à l'application testservice sur client2.example.com.

Pour appliquer les politiques de connexion, associez authentication indicators aux services. Seuls les clients dont les demandes de tickets de service contiennent les indicateurs d'authentification requis peuvent accéder à ces services. Pour plus d'informations, voir Indicateurs d'authentification Kerberos.

Chaque ticket Kerberos a une lifetime et une renewal age potentielle : vous pouvez renouveler un ticket avant qu'il n'atteigne sa durée de vie maximale, mais pas après qu'il ait dépassé son âge maximal de renouvellement.

La durée de vie globale par défaut des tickets est d'un jour (86400 secondes) et l'âge maximum de renouvellement global par défaut est d'une semaine (604800 secondes). Pour ajuster ces valeurs globales, voir Configuration de la politique globale de cycle de vie des tickets.

Vous pouvez également définir vos propres politiques de cycle de vie des tickets :