krb5_auth_timeout (Ganzzahl) Zeitüberschreitung in Sekunden, nach der eine Online-Anfrage zur Authentifizierung oder Passwortänderung gescheitert ist. Falls möglich, wird die Authentifizierung offline fortgesetzt. Voreinstellung: 6 krb5_validate (Boolesch) prüft mit Hilfe von »krb5_keytab«, ob das erhaltene TGT keine Täuschung ist. Die Einträge der Keytab werden der Reihe nach kontrolliert und der erste Eintrag mit einem passenden Realm wird für die Überprüfung benutzt. Falls keine Einträge dem Realm entsprechen, wird der letzte Eintrag der Keytab verwendet. Dieser Prozess kann zur Überprüfung von Umgebungen mittels Realm-übergreifendem Vertrauen benutzt werden, indem der dazugehörige Keytab-Eintrag als letzter oder einziger Eintrag in der Keytab-Datei abgelegt wird. Default: false (IPA and AD provider: true) Please note that the ticket validation is the first step when checking the PAC (see 'pac_check' in the sssd.conf 5 manual page for details). If ticket validation is disabled the PAC checks will be skipped as well. krb5_renewable_lifetime (Zeichenkette) fordert ein erneuerbares Ticket mit einer Gesamtlebensdauer an. Es wird als Ganzzahl, der direkt eine Zeiteinheit folgt, angegeben: s für Sekunden m für Minuten h für Stunden d für Tage Falls keine Einheit angegeben ist, wird s angenommen. HINWEIS: Es ist nicht möglich, Einheiten zu mixen. Um die erneuerbare Lebensdauer auf eineinhalb Stunden zu setzen, verwenden Sie »90m« statt »1h30m«. Voreinstellung: nicht gesetzt, d.h. das TGT ist nicht erneuerbar. krb5_lifetime (Zeichenkette) Anforderungsticket mit einer Lebensdauer, angegeben als Ganzzahl, der direkt eine Zeiteinheit folgt: s für Sekunden m für Minuten h für Stunden d für Tage Falls keine Einheit angegeben ist, wird s angenommen. HINWEIS: Es ist nicht möglich, Einheiten zu mixen. Um die Lebensdauer auf eineinhalb Stunden zu setzen, verwenden Sie »90m« statt »1h30m«. Voreinstellung: nicht gesetzt, d.h. die Standardlebenszeit des Tickets auf der Schlüsselverwaltungszentrale (KDC) krb5_renew_interval (Zeichenkette) die Zeit in Sekunden zwischen zwei Prüfungen, ob das TGT erneuert werden soll. TGTs werden erneuert, wenn ungefähr die Hälfte ihrer Lebensdauer überschritten ist. Sie wird als Ganzzahl, der unmittelbar eine Zeiteinheit folgt, angegeben: s für Sekunden m für Minuten h für Stunden d für Tage Falls keine Einheit angegeben ist, wird s angenommen. HINWEIS: Es ist nicht möglich, Einheiten zu mixen. Um die erneuerbare Lebensdauer auf eineinhalb Stunden zu setzen, verwenden Sie »90m« statt »1h30m«. Falls diese Option nicht oder auf 0 gesetzt ist, wird die automatische Erneuerung deaktiviert. Voreinstellung: nicht gesetzt krb5_canonicalize (Boolesch) gibt an, ob der Rechner und User-Principal in die kanonische Form gebracht werden sollen. Diese Funktionalität ist mit MIT-Kerberos 1.7 und neueren Versionen verfügbar. Voreinstellung: »false«