8.2. 每个域控制 KDC 行为的选项
为了跟踪每个 Kerberos 域的锁定和解锁用户帐户,KDC 会在每个成功和身份验证失败后写入其数据库。通过调整 /etc/krb5.conf 文件的 [dbmodules] 部分中的以下选项,您可以最大程度减少 KDC 写入信息的频率来提高性能。
- disable_last_success
如果设置为
true,这个选项会阻止 KDC 更新到需要预身份验证的主条目的Last successful authentication字段。默认值
false有效范围
true或false- disable_lockout
如果设置为
true,这个选项会阻止 KDC 更新到需要预身份验证的主条目的Last failed authentication和Failed password attempts字段。设置此标志可能会提高性能,但禁用帐户锁定可能会被视为安全风险。默认值
false有效范围
true或false
