1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
|
<variablelist>
<varlistentry>
<term>krb5_auth_timeout (целое число)</term>
<listitem>
<para>
Тайм-аут в секундах после прерывания запроса проверки подлинности или смены
пароля в сетевом режиме. Обработка запроса проверки подлинности будет
продолжена в автономном режиме, если это возможно.
</para>
<para>
По умолчанию: 6
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>krb5_validate (логическое значение)</term>
<listitem>
<para>
Проверить с помощью krb5_keytab, что полученный TGT не был
подменён. Проверка записей в таблице ключей выполняется последовательно, для
проверки действительности используется первая запись с соответствующей
областью. Если области не соответствует ни одна из записей, используется
последняя запись в таблице ключей. Этот процесс можно использовать для
проверки сред, где используются межобластные отношения доверия, поместив
соответствующую запись таблицы ключей в качестве последней или единственной
записи в файле таблицы ключей.
</para>
<para>
По умолчанию: false (для поставщиков данных IPA и AD: true)
</para>
<para>
Обратите внимание, что проверка билета — это первый шаг при проверке PAC
(дополнительные сведения доступны в описании параметра «pac_check» на
справочной странице <citerefentry> <refentrytitle>sssd.conf</refentrytitle>
<manvolnum>5</manvolnum> </citerefentry>). Если проверка билета отключена,
проверки PAC также будут пропущены.
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>krb5_renewable_lifetime (строка)</term>
<listitem>
<para>
Запросить обновляемый билет с общим временем жизни, указанным как целое
число, сразу после которого следует единица измерения времени:
</para>
<para>
<emphasis>s</emphasis> для секунд
</para>
<para>
<emphasis>m</emphasis> для минут
</para>
<para>
<emphasis>h</emphasis> для часов
</para>
<para>
<emphasis>d</emphasis> для дней.
</para>
<para>
Если единица измерения не указана, предполагается, что используется значение
<emphasis>s</emphasis>.
</para>
<para>
ПРИМЕЧАНИЕ: единицы измерения нельзя смешивать. Чтобы установить обновляемое
время жизни равным полутора часам, укажите «90m», а не «1h30m».
</para>
<para>
По умолчанию: не задано, то есть TGT не является обновляемым
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>krb5_lifetime (строка)</term>
<listitem>
<para>
Запросить билет с временем жизни, указанным как целое число, сразу после
которого следует единица измерения времени:
</para>
<para>
<emphasis>s</emphasis> для секунд
</para>
<para>
<emphasis>m</emphasis> для минут
</para>
<para>
<emphasis>h</emphasis> для часов
</para>
<para>
<emphasis>d</emphasis> для дней.
</para>
<para>
Если единица измерения не указана, предполагается, что используется значение
<emphasis>s</emphasis>.
</para>
<para>
ПРИМЕЧАНИЕ: единицы измерения нельзя смешивать. Чтобы установить время жизни
равным полутора часам, укажите «90m», а не «1h30m».
</para>
<para>
По умолчанию: не задано, то есть стандартное время жизни билета, настроенное
в параметрах KDC.
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>krb5_renew_interval (строка)</term>
<listitem>
<para>
Время в секундах между двумя проверками того, следует ли обновить
TGT. Обновление TGT выполняется в том случае, если прошла примерно половина
времени жизни билета, указанного как целое число, сразу после которого
следует единица измерения времени:
</para>
<para>
<emphasis>s</emphasis> для секунд
</para>
<para>
<emphasis>m</emphasis> для минут
</para>
<para>
<emphasis>h</emphasis> для часов
</para>
<para>
<emphasis>d</emphasis> для дней.
</para>
<para>
Если единица измерения не указана, предполагается, что используется значение
<emphasis>s</emphasis>.
</para>
<para>
ПРИМЕЧАНИЕ: единицы измерения нельзя смешивать. Чтобы установить обновляемое
время жизни равным полутора часам, укажите «90m», а не «1h30m».
</para>
<para>
Если этот параметр не указан или установлен в значение «0», автоматическое
обновление отключено.
</para>
<para>
По умолчанию: не задано
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>krb5_canonicalize (логическое значение)</term>
<listitem>
<para>
Позволяет указать, следует ли приводить в каноническую форму имя
участника-узла и участника-пользователя. Эта возможность доступна в MIT
Kerberos 1.7 и выше.
</para>
<para>
По умолчанию: false
</para>
</listitem>
</varlistentry>
</variablelist>
|
