23.8. 在从 KDC 获取请求时强制执行特定身份验证指示器
要强制使用特定的验证指示符,请执行以下操作:
- 主机对象,执行:
# ipa host-mod host_name --auth-ind=indicator
- 一个 Kerberos 服务,执行:
# ipa service-mod service/host_name --auth-ind=indicator
要设置多个身份验证指标,请多次指定
--auth-ind
参数。
警告
将身份验证指标设置为
HTTP/IdM_master
服务会导致 IdM master 失败。另外,IdM 提供的工具不会允许您恢复 master。
例 23.2. 在特定主机上强制 pkinit 标识符
以下命令配置只有通过智能卡验证的用户才能获取
host.idm.example.com
主机的服务票据:
# ipa host-mod host.idm.example.com --auth-ind=pkinit
以上设置可确保请求 Kerberos 票据的用户的票据授予票据(TGT)包含 pkinit 身份验证指标。