14.6. 根据身份验证指标配置全局票据策略
按照以下流程,为每个身份验证指标调整全局最长票据生命周期和最长可续订期限。这些设置适用于没有定义按用户的票据策略的用户。
使用 ipa krbtpolicy-mod
命令来指定 Kerberos 票据的全局最长生命周期或最大可用期限,具体取决于它们所附加的 身份验证指标。
步骤
例如,将全局双因素票据生命周期和续订期限值设置为一周,将全局智能卡票据生命周期和续订期限值设置为两周:
[root@server ~]# ipa krbtpolicy-mod --otp-maxlife=604800 --otp-maxrenew=604800 --pkinit-maxlife=172800 --pkinit-maxrenew=172800
验证步骤
显示全局票据策略:
[root@server ~]# ipa krbtpolicy-show Max life: 86400 OTP max life: 604800 PKINIT max life: 172800 Max renew: 604800 OTP max renew: 604800 PKINIT max renew: 172800
请注意,OTP 和 PKINIT 值与全局默认的
Max life
和Max renew
值不同。
其他资源
-
请参阅
krbtpolicy-mod
命令的身份验证指标选项。 - 请参阅 为用户配置默认的票据策略。
- 请参阅 为用户配置单个的身份验证指标票据策略。