51.8. ユーザーの個別認証インジケーターチケットポリシーの設定
管理者は、ユーザーに、認証インジケーター別に異なる Kerberos チケットポリシーを定義できます。たとえば、IdM 管理者
ユーザーは、チケットを OTP 認証で取得した場合には 2 日間、スマートカード認証で取得した場合には 1 週間更新できるようにポリシーを設定できます。
これらの認証インジケーター設定は、ユーザーの デフォルトのチケットポリシー、グローバル デフォルトチケットポリシー、および グローバル 認証インジケーターチケットポリシーをオーバーライドします。
ipa krbtpolicy-mod username
コマンドを使用して、それぞれに割り当てられた 認証インジケーター に合わせて、ユーザー Kerberos チケットのカスタム最大有効期間および最大の更新可能期間を設定します。
手順
たとえば、ワンタイムパスワード認証でチケットを取得した場合に IdM
admin
ユーザーが 2 日間 Kerberos チケットを更新できるようにするには、--otp-maxrenew
オプションを設定します。[root@server ~]# ipa krbtpolicy-mod admin --otp-maxrenew=$((2*24*60*60)) OTP max renew: 172800
オプション: ユーザーのチケットポリシーをリセットするには、以下を実行します。
[root@server ~]# ipa krbtpolicy-reset username
検証手順
ユーザーに適用される有効な Kerberos チケットポリシーを表示します。
[root@server ~]# ipa krbtpolicy-show admin Max life: 28800 Max renew: 86640
関連情報
-
krbtpolicy-mod
コマンドの認証インジケーターオプション を参照してください。 - ユーザーのデフォルトチケットポリシーの設定 を参照してください。
- グローバルチケットライフサイクルポリシーの設定 を参照してください。
- 認証インジケーターごとのグローバルチケットポリシーの設定 を参照してください。