14.5. 配置全局票据生命周期策略
全局票据策略适用于所有服务票据,也适用于没有定义任何按用户的票据策略的用户。
以下流程描述了使用 ipa krbtpolicy-mod
命令调整全局 Kerberos 票据策略的最大票据生命周期和最大票据续订期限。
使用 ipa krbtpolicy-mod
命令时,至少指定以下参数之一:
-
--maxlife
最长票据生命周期(以秒为单位) -
--maxrenew
最长续订期限(以秒为单位)
步骤
修改全局票据策略:
[root@server ~]# ipa krbtpolicy-mod --maxlife=$((8*60*60)) --maxrenew=$((24*60*60)) Max life: 28800 Max renew: 86400
在本例中,最长生命周期设置为 8 小时(8 * 60 分钟 * 60 秒),最长续订期限设置为一天(24 * 60 分钟 * 60 秒)。
可选:将全局 Kerberos 票据策略重置为默认安装值:
[root@server ~]# ipa krbtpolicy-reset Max life: 86400 Max renew: 604800
验证步骤
显示全局票据策略:
[root@server ~]# ipa krbtpolicy-show Max life: 28800 Max renew: 86640
其他资源
- 请参阅 为用户配置默认的票据策略。
- 请参阅 为用户配置单个的身份验证指标票据策略。