15.7. 为用户配置默认的票据策略
您可以定义一个仅适用于单个用户的 Kerberos 票据策略。这些按用户的设置会覆盖所有验证指标的全局票据策略。
使用 ipa krbtpolicy-mod username
命令,并至少指定以下参数之一:
-
--maxlife
最长票据生命周期(以秒为单位) -
--maxrenew
最长续订期限(以秒为单位)
步骤
例如,将 IdM
admin
用户的最长票据生命周期设置为两天,将最长续订期限设置为 2 周:[root@server ~]# ipa krbtpolicy-mod admin --maxlife=172800 --maxrenew=1209600 Max life: 172800 Max renew: 1209600
可选:为用户重置票据策略:
[root@server ~]# ipa krbtpolicy-reset admin
验证
显示应用到用户的有效 Kerberos 票据策略:
[root@server ~]# ipa krbtpolicy-show admin Max life: 172800 Max renew: 1209600