32.9. IdM のユーザーに対する、最後に成功した Kerberos 認証の追跡の有効化
パフォーマンス上の理由から、Red Hat Enterprise Linux 8 で実行している Identity Management (IdM) には、ユーザーが最後に成功した Kerberos 認証のタイムスタンプが保存されません。そのため、ipa user-status などの特定のコマンドではタイムスタンプが表示されません。
前提条件
- IdM の管理ユーザーの TGT (Ticket-Granting Ticket) を取得している。
-
手順を実行している IdM サーバーへの
rootアクセス権限がある。
手順
現在有効なパスワードプラグイン機能を表示します。
# ipa config-show | grep "Password plugin features" Password plugin features: AllowNThash, KDC:Disable Last Success
この出力は、
KDC:Disable Last Successプラグインが有効になっていることを示しています。このプラグインにより、最後に成功した Kerberos 認証試行が ipa user-status 出力に表示されなくなります。現在有効な
ipa config-modコマンドに、すべての機能の--ipaconfigstring=featureパラメーターを追加します (KDC:Disable Last Successを除く)。# ipa config-mod --ipaconfigstring='AllowNThash'このコマンドは、
AllowNThashプラグインのみを有効にします。複数の機能を有効にするには、機能ごとに--ipaconfigstring=featureパラメーターを個別に指定します。IdM を再起動します。
# ipactl restart
