6.3. 令牌策略
本节提供了可基于 TPS UI 针对每个令牌应用的令牌策略列表。Ech 部分将显示每个策略如何反映在配置中。
注意
有关一般信息,请参阅 红帽认证系统 9 规划、安装和部署指南中的 令牌策略 部分。
策略是每个策略的集合,每个策略由分号("
;"")分开。每个策略都可以打开或关闭关键字 YES 或 NO。以下列表中的每个策略都会在其默认值中引入 - 如果策略字符串中不存在该设置,则由 TPS 执行的操作。
- RE_ENROLL=YES
- 此策略控制令牌是否允许重新注册操作。这允许重新注册的令牌(带有证书)并给出新的令牌。如果设置为
NO,则服务器在尝试重新注册时会返回错误。这个策略不需要特殊配置。注册将继续进行标准注册配置文件,该配置文件可能会最初注册令牌。 - RENEW=NO;RENEW_KEEP_OLD_ENC_CERTS=YES
- 续订可让令牌在其配置集生成的证书放置在令牌上。如果
RENEW设为YES,则从企业安全客户端(ESC)的简单注册将会导致续订,而不是如上所示的重新注册。RENEW_KEEP_OLD_ENC_CERTS设置决定续订操作是否保留加密证书的旧版本。保留前面的证书可让用户访问使用旧证书加密的数据。将此选项设置为NO,表示任何使用旧证书加密的任何内容都将不再可以被恢复。配置:op.enroll.userKey.renewal.encryption.ca.conn=ca1 op.enroll.userKey.renewal.encryption.ca.profileId=caTokenUserEncryptionKeyRenewal op.enroll.userKey.renewal.encryption.certAttrId=c2 op.enroll.userKey.renewal.encryption.certId=C2 op.enroll.userKey.renewal.encryption.enable=true op.enroll.userKey.renewal.encryption.gracePeriod.after=30 op.enroll.userKey.renewal.encryption.gracePeriod.before=30 op.enroll.userKey.renewal.encryption.gracePeriod.enable=false op.enroll.userKey.renewal.keyType.num=2 op.enroll.userKey.renewal.keyType.value.0=signing op.enroll.userKey.renewal.keyType.value.1=encryption op.enroll.userKey.renewal.signing.ca.conn=ca1 op.enroll.userKey.renewal.signing.ca.profileId=caTokenUserSigningKeyRenewal op.enroll.userKey.renewal.signing.certAttrId=c1 op.enroll.userKey.renewal.signing.certId=C1 op.enroll.userKey.renewal.signing.enable=true op.enroll.userKey.renewal.signing.gracePeriod.after=30 op.enroll.userKey.renewal.signing.gracePeriod.before=30 op.enroll.userKey.renewal.signing.gracePeriod.enable=false
这种类型的续订配置会对基本用户Key标准注册配置集进行镜像,并带有几个特定于续订的设置。需要这种奇偶校验的原因是,我们需要续订最初注册到令牌中的 certs 数量和类型,然后再进行续订。 - FORCE_FORMAT=NO
- 如果启用,这个策略会导致每个注册操作都提示操作。这是一个最后一个步骤选项,允许在不用户将其返回到管理员的情况下重置令牌。如果设置为
YES,则用户启动的每个注册操作将导致格式发生,可能会将令牌重置为已格式化状态。不需要额外的配置。为执行标准格式操作相同的 TPS 配置集出现简单的格式。 - PIN_RESET=NO
- 此策略决定了已经注册的令牌是否可以使用 ESC 执行显式"pin reset"更改。此值必须设置为
YES,否则尝试的操作将拒绝服务器出错。配置:op.enroll.userKey.pinReset.enable=true op.enroll.userKey.pinReset.pin.maxLen=10 op.enroll.userKey.pinReset.pin.maxRetries=127 op.enroll.userKey.pinReset.pin.minLen=4
在上例中,minLen和maxLen的设置会限制选择密码的长度,maxRetries设置将令牌设置为仅在锁定前重试次数。
可使用最新的 TPS 用户界面轻松编辑 TPS 策略。导航到需要更改策略的令牌,并点击 Edit。这将弹出一个对话框,供您编辑字段,该字段是连续运行半以冒号分隔的策略的集合。每个支持的策略都必须设置为 <
POLICYNAME>=YES 或 <POLICYNAME> =NO,才能被 TPS 识别。
