1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
|
<variablelist>
<varlistentry>
<term>krb5_auth_timeout (entier)</term>
<listitem>
<para>
Délai d'attente, en secondes, après l'annulation d'une requête
d'authentification en ligne ou de changement de mot de passe. La requête
d'authentification sera effectuée hors-ligne si cela est possible.
</para>
<para>
Par défaut : 6
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>krb5_validate (booléen)</term>
<listitem>
<para>
Vérifie à l'aide de krb5_keytab que le TGT obtenu n'a pas été usurpé. Les
entrées d'un fichier keytab sont vérifiées dans l'ordre, et la première
entrée avec un domaine correspondant est utilisée pour la validation. Si
aucune entrée ne correspond au domaine, la dernière entrée dans le fichier
keytab est utilisée. Ce processus peut être utilisé pour valider des
environnements utilisant l'approbation entre domaines en plaçant l'entrée
keytab appropriée comme dernière ou comme seule entrée dans le fichier
keytab.
</para>
<para>
Default: false (IPA and AD provider: true)
</para>
<para>
Please note that the ticket validation is the first step when checking the
PAC (see 'pac_check' in the <citerefentry>
<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum>
</citerefentry> manual page for details). If ticket validation is disabled
the PAC checks will be skipped as well.
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>krb5_renewable_lifetime (chaîne)</term>
<listitem>
<para>
Demande un ticket renouvelable avec une durée de vie totale, donnée par un
entier immédiatement suivi par une unité de temps :
</para>
<para>
<emphasis>s</emphasis> pour secondes
</para>
<para>
<emphasis>m</emphasis> pour minutes
</para>
<para>
<emphasis>h</emphasis> pour heures
</para>
<para>
<emphasis>d</emphasis> pour jours.
</para>
<para>
Si aucune unité n'est spécifiée, <emphasis>s</emphasis> est utilisé.
</para>
<para>
NOTE : il n'est pas possible de mélanger les unités. Pour indiquer une durée
de vie renouvelable de une heure et trente minutes, utiliser « 90m » au lieu
de « 1h30m ».
</para>
<para>
Par défaut : non défini, c'est-à-dire que le TGT n'est pas renouvelable
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>krb5_lifetime (chaîne)</term>
<listitem>
<para>
Demande un ticket avec une durée de vie, donnée par un entier immédiatement
suivi par une unité de temps :
</para>
<para>
<emphasis>s</emphasis> pour secondes
</para>
<para>
<emphasis>m</emphasis> pour minutes
</para>
<para>
<emphasis>h</emphasis> pour heures
</para>
<para>
<emphasis>d</emphasis> pour jours.
</para>
<para>
Si aucune unité n'est spécifiée, <emphasis>s</emphasis> est utilisé.
</para>
<para>
NOTE : il n'est pas possible de mélanger les unités. Pour indiquer une durée
de vie de une heure et trente minutes, utiliser « 90m » au lieu de « 1h30m
».
</para>
<para>
Par défaut : non défini, c'est-à-dire la durée de vie par défaut configurée
dans le KDC.
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>krb5_renew_interval (chaîne)</term>
<listitem>
<para>
La durée, en secondes, entre deux vérifications pour savoir si le TGT doit
être renouvelé. Les TGT sont renouvelés si environ la moitié de leur durée
de vie est dépassée. Indiquée par un entier immédiatement suivi d'une unité
de temps :
</para>
<para>
<emphasis>s</emphasis> pour secondes
</para>
<para>
<emphasis>m</emphasis> pour minutes
</para>
<para>
<emphasis>h</emphasis> pour heures
</para>
<para>
<emphasis>d</emphasis> pour jours.
</para>
<para>
Si aucune unité n'est spécifiée, <emphasis>s</emphasis> est utilisé.
</para>
<para>
NOTE : il n'est pas possible de mélanger les unités. Pour indiquer une durée
de vie renouvelable de une heure et trente minutes, utiliser « 90m » au lieu
de « 1h30m ».
</para>
<para>
Si cette option n'est pas définie ou définie à 0, le renouvellement
automatique est désactivé.
</para>
<para>
Par défaut : non défini
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>krb5_canonicalize (booléen)</term>
<listitem>
<para>
Spécifie si les principaux du système et de l'utilisateur doivent être
rendus canoniques. Cette fonctionnalité est disponible avec MIT Kerberos 1.7
et versions suivantes.
</para>
<para>
Par défaut : false
</para>
</listitem>
</varlistentry>
</variablelist>
|
