15.2. IdM Kerberos 票据策略类型
IdM Kerberos 票据策略实现以下票据策略类型:
- 连接策略
要保护具有不同安全级别的 Kerberos 服务,您可以定义连接策略来强制执行规则,客户端基于这些规则来检索票据授予票(TGT)。
例如,您可以要求智能卡验证来连接到
client1.example.com
,并且需要双因素身份验证来访问client2.example.com
上的testservice
应用。要强制执行连接策略,请将 身份验证指标 与服务相关联。只有在服务票据请求中有所需的验证指标的客户端才能访问这些服务。如需更多信息,请参阅 Kerberos 身份验证指标。
- 票据生命周期策略
每个 Kerberos 票据都有一个 生命周期 和一个潜在的 续订期限 :您可以在达到最长生命周期前续订票据,但不能在超过其最长续订期限之后续订票据。
默认的全局票据生命周期为一天(86400 秒),默认的全局最长续订期限为 1 周(604800 秒)。要调整这些全局值,请参阅 配置全局票据生命周期策略。
您还可以自行定义您自己的票据生命周期策略:
- 要为每个身份验证指标配置不同的全局票据生命周期值,请参阅 根据身份验证指标配置全局票据策略。
- 要为应用任何身份验证方法的单个用户定义票据生命周期值,请参阅 为用户配置默认的票据策略。
- 要为每个只应用到单独用户的身份验证指标定义单个票据生命周期值,请参阅 为用户配置单独的身份验证指标票据策略。