51.6. 認証インジケーターごとのグローバルチケットポリシーの設定
各認証インジケーターのグローバルのチケット最大有効期間と最大更新可能期間を調整するには、次の手順に従います。この設定は、ユーザー別のチケットポリシーが定義されていないユーザーに適用されます。
ipa krbtpolicy-mod
コマンドを使用して、それぞれに割り当てられた 認証インジケーター に合わせて、Kerberos チケットのグローバルの最大有効期間または更新可能な期間を指定します。
手順
たとえば、グローバルな 2 要素のチケットの有効期間と更新期間の値を 1 週間に、グローバルスマートカードチケットの有効期間と更新期間の値を 2 週間に設定するには以下を実行します。
[root@server ~]# ipa krbtpolicy-mod --otp-maxlife=604800 --otp-maxrenew=604800 --pkinit-maxlife=172800 --pkinit-maxrenew=172800
検証手順
グローバルチケットポリシーを表示します。
[root@server ~]# ipa krbtpolicy-show Max life: 86400 OTP max life: 604800 PKINIT max life: 172800 Max renew: 604800 OTP max renew: 604800 PKINIT max renew: 172800
OTP および PKINIT の値は、グローバルなデフォルトの
Max life
およびMax renew
値とは異なることに注意してください。
関連情報
-
krbtpolicy-mod
コマンドの認証インジケーターオプション を参照してください。 - ユーザーのデフォルトチケットポリシーの設定 を参照してください。
- ユーザーの個々の認証インジケーターチケットポリシーの設定 を参照してください。