5.9. IdM のユーザーに対する、最後に成功した Kerberos 認証の追跡の有効化
パフォーマンス上の理由から、Red Hat Enterprise Linux 8 で実行している Identity Management (IdM) には、ユーザーが最後に成功した Kerberos 認証のタイムスタンプが保存されません。そのため、ipa user-status
などの特定のコマンドではタイムスタンプが表示されません。
前提条件
- IdM の管理ユーザーの TGT (Ticket-Granting Ticket) を取得している。
-
手順を実行している IdM サーバーへの
root
アクセス権限がある。
手順
現在有効なパスワードプラグイン機能を表示します。
# ipa config-show | grep "Password plugin features" Password plugin features: AllowNThash, KDC:Disable Last Success
この出力は、
KDC:Disable Last Success
プラグインが有効になっていることを示しています。このプラグインにより、最後に成功した Kerberos 認証試行が ipa user-status 出力に表示されなくなります。現在有効な
ipa config-mod
コマンドに、すべての機能の--ipaconfigstring=feature
パラメーターを追加します (KDC:Disable Last Success
を除く)。# ipa config-mod --ipaconfigstring='AllowNThash'
このコマンドは、
AllowNThash
プラグインのみを有効にします。複数の機能を有効にするには、機能ごとに--ipaconfigstring=feature
パラメーターを個別に指定します。IdM を再起動します。
# ipactl restart