22.2. 启用最后成功 Kerberos 身份验证的跟踪
出于性能原因,在 Red Hat Enterprise Linux 7.4 及之后的版本上运行的 IdM 不会存储用户最后一次成功的 Kerberos 身份验证的时间戳。因此,某些命令(如 ipa user-status )不会显示时间戳。
启用跟踪用户最近一次成功的 Kerberos 身份验证:
- 显示当前启用的密码插件功能:
# ipa config-show | grep "Password plugin features" Password plugin features: AllowNThash, KDC:Disable Last Success
在以下步骤中,您需要功能的名称( KDC:Disable Last Success 除外)。 - 将每个功能的
--ipaconfigstring=feature
参数传递给当前启用的 ipa config-mod 命令,但 KDC:Disable Last Success 除外:# ipa config-mod --ipaconfigstring='AllowNThash'
这个命令只启用 AllowNThash 插件。要启用多个功能,请多次指定--ipaconfigstring=feature
参数。例如,启用 AllowNThash 和 KDC:Disable Lockout 功能:# ipa config-mod --ipaconfigstring='AllowNThash' --ipaconfigstring='KDC:Disable Lockout'
- 重启 IdM:
# ipactl restart