搜索

51.8. 为用户配置单独的身份验证指标票据策略

download PDF

作为管理员,您可以为每个身份验证指标不同的用户定义 Kerberos 票据策略。例如,您可以将策略配置为允许 IdM admin 用户续订两天的票据(如果是通过 OTP 身份验证获取的票据);或者续订一周的票据(是通过智能卡身份验证获取的票据)。

这些按身份验证的指标设置将覆盖 用户的 默认票据策略、全局的 默认票据策略,以及任何 全局的 身份验证指标票据策略。

使用 ipa krbtpolicy-mod username 命令,为用户的 Kerberos 票据设置自定义的最长生命周期和最长可续订期限值,具体取决于附加给它们的 身份验证指标

流程

  1. 例如,要允许 IdM admin 用户续订两天的 Kerberos 票据(如果是使用一次性密码身份验证获取的),请设置 --otp-maxrenew 选项:

    [root@server ~]# ipa krbtpolicy-mod admin --otp-maxrenew=$((2*24*60*60))
      OTP max renew: 172800
  2. 可选:为用户重置票据策略:

    [root@server ~]# ipa krbtpolicy-reset username

验证步骤

  • 显示应用到用户的有效 Kerberos 票据策略:

    [root@server ~]# ipa krbtpolicy-show admin
      Max life: 28800
      Max renew: 86640
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.