5.3.5.2. 为服务设置 PAC 类型
如果没有为该服务明确设置任何设置,全局策略会设置要用于服务的 PAC 类型。但是,全局设置可以在本地服务配置中覆盖。
要从命令行更改 PAC 设置,请使用 ipa service-mod 命令和
--pac-type 选项。有关如何使用该命令的详情,请在添加 --help 选项的情况下运行该命令:
$ ipa service-mod --help Usage: ipa [global-options] service-mod PRINCIPAL [options] Modify an existing IPA service. Options: -h, --help show this help message and exit ...
更改 Web UI 中的 PAC 设置:
- 打开"身份 "选项卡,然后选择"服务 "子选项卡。
- 单击要编辑的服务的名称。
- 在 Service Settings 区域,选中覆盖继承的 settings 选项,然后选择 MS-PAC 复选框来添加可供 AD 服务使用的证书。
图 5.8. Service Settings 区域
如果没有选择复选框,则不会在 Kerberos 票据中添加任何 PAC。注意您可以忽略PAD 复选框。IdM 中尚不提供此功能。 - 单击页面顶部的更新链接,以保存更改。
