20.2. Kerberos チケットポリシーの設定
Kerberos チケットポリシー は、チケットの最大有効期間や更新期間 (チケットを更新することのできる期間) など、Kerberos レルム内のチケット管理に基本的な制限を設定します。
Kerberos チケットポリシーはグローバルに設定され、レルム内で発行されたすべてのチケットに適用されます。IdM には、グローバルポリシーを上書きするユーザーレベルのチケットポリシーを設定する機能もあります。これは、たとえば、管理者の有効期限を設定したり、社員の有効期限を短くするために使用できます。
20.2.1. グローバルチケットポリシーの設定
20.2.1.1. Web UI での操作
- Policy タブをクリックし、Kerberos Ticket Policy サブタブをクリックします。
- チケットライフタイムポリシーを変更します。
- 最大更新 は、チケットの期限が切れた後に更新できる期間を設定します。
- Maximum life は、Kerberos チケットのアクティブな期間 (ライフサイクル) を設定します。
- ポリシーページの上部にある Update リンクをクリックします。
- KDC を再起動します。
# service krb5kdc restart
重要グローバル Kerberos チケットポリシーを変更するには、KDC を再起動して変更を反映する必要があります。
20.2.1.2. コマンドラインでの操作
この ipa krbtpolicy-mod コマンドはポリシーを変更します。一方、ipa krbtpolicy-reset コマンドでは、ポリシーがデフォルト値にリセットされます。
たとえば、以下のようになります。
# ipa krbtpolicy-mod --maxlife=3600 --maxrenew=18000 Max life: 3600 Max renew: 18000
重要
グローバル Kerberos チケットポリシーを変更するには、KDC を再起動して変更を反映する必要があります。KDC を再起動します。
# service krb5kdc restart
