6.3. 令牌策略
本节提供了令牌策略列表,它们可使用 TPS UI 按令牌应用。Ech 部分将显示每个策略如何反映在配置中。
注意
有关一般信息,请参阅 Red Hat Certificate System Planning, Installation and Deployment Guide 中的 Token Policies 部分。
策略是策略集合,各自用分号("
;"")分隔。每个策略都可以使用关键字 YES 或 NO 打开或关闭。以下列表中的每个策略都会被引入其默认值 - 如果策略字符串中没有设置,则 TPS 所执行的操作。
- RE_ENROLL=YES
- 此策略控制令牌是否允许重新注册操作。这允许重新注册令牌(使用证书)并授予新的令牌。如果设置为
NO,服务器将在尝试重新注册时返回错误。此策略不需要特殊配置。注册将继续执行标准注册配置文件,该配置文件可能最初注册令牌。 - RENEW=NO;RENEW_KEEP_OLD_ENC_CERTS=YES
- 续订允许令牌生成的证书被续订,以放置到令牌中。如果将
RENEW设置为YES,则来自企业安全客户端(ESC)的简单注册将导致续订,而不是重新注册。RENEW_KEEP_OLD_ENC_CERTS设置决定续订操作是否保留以前的加密证书版本。保留前面的证书后,用户可以访问使用旧证书加密的数据。将这个选项设置为NO将意味着任何使用旧证书加密的证书都将无法再恢复。配置:op.enroll.userKey.renewal.encryption.ca.conn=ca1 op.enroll.userKey.renewal.encryption.ca.profileId=caTokenUserEncryptionKeyRenewal op.enroll.userKey.renewal.encryption.certAttrId=c2 op.enroll.userKey.renewal.encryption.certId=C2 op.enroll.userKey.renewal.encryption.enable=true op.enroll.userKey.renewal.encryption.gracePeriod.after=30 op.enroll.userKey.renewal.encryption.gracePeriod.before=30 op.enroll.userKey.renewal.encryption.gracePeriod.enable=false op.enroll.userKey.renewal.keyType.num=2 op.enroll.userKey.renewal.keyType.value.0=signing op.enroll.userKey.renewal.keyType.value.1=encryption op.enroll.userKey.renewal.signing.ca.conn=ca1 op.enroll.userKey.renewal.signing.ca.profileId=caTokenUserSigningKeyRenewal op.enroll.userKey.renewal.signing.certAttrId=c1 op.enroll.userKey.renewal.signing.certId=C1 op.enroll.userKey.renewal.signing.enable=true op.enroll.userKey.renewal.signing.gracePeriod.after=30 op.enroll.userKey.renewal.signing.gracePeriod.before=30 op.enroll.userKey.renewal.signing.gracePeriod.enable=false
这种类型的续订配置使用特定于续订的一些添加的设置,对基本userKey标准注册配置集进行了镜像(mirror)。这个奇偶校验是必需的,因为我们开始在续订前,准确续订了最初注册到令牌的证书的数量和类型。 - FORCE_FORMAT=NO
- 如果启用,此策略会导致每个注册操作提示格式操作。这是一个最后一步选项,允许在无需将其返回到管理员的情况下重置令牌。如果设置为
YES,用户发起的每个注册操作将导致格式发生,因此机密将令牌重置为格式化的状态。不需要额外的配置。发生一个简单的格式时,将执行标准格式操作的同一 TPS 配置文件。 - PIN_RESET=NO
- 此策略决定已经注册的令牌是否可以使用 ESC 执行显式"固定重置"更改。这个值必须设置为
YES,否则尝试的操作将被拒绝,并显示错误。配置:op.enroll.userKey.pinReset.enable=true op.enroll.userKey.pinReset.pin.maxLen=10 op.enroll.userKey.pinReset.pin.maxRetries=127 op.enroll.userKey.pinReset.pin.minLen=4
在上例中,minLen和maxLen的设置会对所选密码长度进行限制,maxRetries设置将令牌设置为仅在锁定前允许给定重试次数。
可以使用最新的 TPS 用户界面轻松编辑 TPS 策略。导航到需要更改策略的令牌,再点 Edit。这将启动一个对话框,供您编辑字段,这是冒号分隔的策略的集合。每个支持的策略都必须设置为 <
POLICYNAME>=YES 或 & lt;POLICYNAME> =NO 才能被 TPS 识别。
