22.2. 最後に成功した Kerberos 認証の追跡の有効化
パフォーマンス上の理由から、Red Hat Enterprise Linux 7.4 以降で実行している IdM は、最後に成功した Kerberos 認証のタイムスタンプを保存しません。そのため、ipa user-status などの特定のコマンドはタイムスタンプを表示しません。
最後に成功した Kerberos 認証の追跡を有効にするには、以下を実行します。
- 現在有効なパスワードプラグイン機能を表示します。
# ipa config-show | grep "Password plugin features" Password plugin features: AllowNThash, KDC:Disable Last Success
次の手順で KDC:Disable Last Success 以外の機能の名前が必要です。 - KDC:Disable Last Success を除き、現在有効な ipa config-mod コマンドに
--ipaconfigstring=feature
パラメーターを渡します。# ipa config-mod --ipaconfigstring='AllowNThash'
このコマンドは、AllowNThash プラグインのみを有効にします。複数の機能を有効にするには、--ipaconfigstring=feature
パラメーターを複数回指定します。たとえば、AllowNThash および KDC:Disable Lockout 機能を有効にするには、以下を実行します。# ipa config-mod --ipaconfigstring='AllowNThash' --ipaconfigstring='KDC:Disable Lockout'
- IdM を再起動します。
# ipactl restart