13.2. Types de politiques de ticket IdM Kerberos
Les politiques de ticket Kerberos de l'IdM mettent en œuvre les types de politique de ticket suivants :
- Politique de connexion
Pour protéger les services Kerberisés avec différents niveaux de sécurité, vous pouvez définir des stratégies de connexion pour appliquer des règles basées sur le mécanisme de préauthentification qu'un client a utilisé pour récupérer un ticket d'attribution de ticket (TGT).
Par exemple, vous pouvez exiger une authentification par carte à puce pour vous connecter à
client1.example.com
, et exiger une authentification à deux facteurs pour accéder à l'applicationtestservice
surclient2.example.com
.Pour appliquer les politiques de connexion, associez authentication indicators aux services. Seuls les clients dont les demandes de tickets de service contiennent les indicateurs d'authentification requis peuvent accéder à ces services. Pour plus d'informations, voir Indicateurs d'authentification Kerberos.
- Politique relative au cycle de vie des billets
Chaque ticket Kerberos a une lifetime et une renewal age potentielle : vous pouvez renouveler un ticket avant qu'il n'atteigne sa durée de vie maximale, mais pas après qu'il ait dépassé son âge maximal de renouvellement.
La durée de vie globale par défaut des tickets est d'un jour (86400 secondes) et l'âge maximum de renouvellement global par défaut est d'une semaine (604800 secondes). Pour ajuster ces valeurs globales, voir Configuration de la politique globale de cycle de vie des tickets.
Vous pouvez également définir vos propres politiques de cycle de vie des tickets :
- Pour configurer des valeurs de cycle de vie des tickets globaux différentes pour chaque indicateur d'authentification, voir Configuration des politiques de tickets globaux par indicateur d'authentification.
- Pour définir des valeurs de cycle de vie des tickets pour un seul utilisateur qui s'appliquent quelle que soit la méthode d'authentification utilisée, voir Configuration de la stratégie de ticket par défaut pour un utilisateur.
- Pour définir des valeurs de cycle de vie de ticket individuelles pour chaque indicateur d'authentification qui ne s'appliquent qu'à un seul utilisateur, voir Configuration de politiques de ticket d'indicateur d'authentification individuelles pour un utilisateur.