8.2. 每个域控制 KDC 行为的选项
为了跟踪每个 Kerberos 域的锁定和解锁用户帐户,KDC 会在每个成功和身份验证失败后写入其数据库。通过调整 /etc/krb5.conf
文件的 [dbmodules]
部分中的以下选项,您可以最大程度减少 KDC 写入信息的频率来提高性能。
- disable_last_success
如果设置为
true
,这个选项会阻止 KDC 更新到需要预身份验证的主条目的Last successful authentication
字段。默认值
false
有效范围
true
或false
- disable_lockout
如果设置为
true
,这个选项会阻止 KDC 更新到需要预身份验证的主条目的Last failed authentication
和Failed password attempts
字段。设置此标志可能会提高性能,但禁用帐户锁定可能会被视为安全风险。默认值
false
有效范围
true
或false