Guide du mécanisme d'authentification pour l'entreprise de Sun

Comment modifier les privilèges d'administration Kerberos

Votre site contient probablement de nombreux principaux d'utilisateurs, mais vous préférez sans doute qu'un petit nombre d'entre eux soient en mesure d'administrer la base de données Kerberos. Ces privilèges d'administration de la base de données Kerberos sont établis par le fichier de liste de contrôle d'accès Kerberos (ACL), kadm5.acl(4). Le fichier kadm5.acl vous permet d'accorder ou de refuser les privilèges à certaines personnes ; vous pouvez également utiliser le caractère générique '*' dans le nom du principal pour préciser les privilèges accordés à des groupes de principaux.

Adoptez l'identité de superutilisateur sur le KDC maître.

Éditez le fichier /etc/krb5/kadm5.acl.

Toute entrée dans le fichier kadm5.acl doit respecter le format suivant :

principal   privilèges  [principal_cible]

`principal`	Le principal auquel sont accordés les privilèges. Le nom du principal peut contenir un caractère générique '' dans n'importe quelle partie qui le compose, ce qui s'avère utile pour accorder le même privilège à un groupe de principaux. Par exemple, si vous voulez préciser tous les principaux dont le nom comporte l'instance `admin` , vous devez utiliser `/admin@secteur`. Veuillez noter que l'usage habituel d'une instance `admin` est d'accorder des privilèges distincts (comme l'accès à la base de données Kerberos au niveau administratif) à un principal Kerberos distinct. Par exemple, l'utilisateur `jdb` pourrait détenir un principal, appelé `jdb/admin`, qu'il peut utiliser à des fins administratives. De cette façon, `jdb` obtient des tickets `jdb/admin` uniquement au moment où il a réellement besoin d'utiliser ces privilèges.
`privilèges`	Permet de préciser les opérations qu'un principal est autorisé ou non à effectuer. Il s'agit d'une chaîne composée d'un ou de plusieurs caractères, indiqués ci-dessous, ou de leur contrepartie en majuscules. Si le caractère est entré en majuscule (ou qu'il n'est pas précisé), l'opération est refusée. Par contre, si le caractère est entré en minuscule, l'opération est autorisée.
	`a`	Autorise [ou non] l'ajout de principaux ou de politiques.
	`d`	Autorise [ou non] la suppression de principaux ou de politiques.
	`m`	Autorise [ou non] la modification de principaux ou de politiques.
	`c`	Autorise [ou non] la modification des mots de passe de principaux.
	`i`	Autorise [ou non] les interrogations dans la base de données.
	`l`	Autorise [ou non] l'affichage de listes de principaux ou de politiques de la base de données.
	`x` ou `*`	Accorde tous les privilèges (`admcil`).
`principal_cible`	Lorsque ce champ comporte le nom d'un principal, les `privilèges` sont accordés au `principal` uniquement lorsqu'il effectue des opérations sur le `principal_cible`. Le nom du principal peut contenir le caractère générique '*' dans l'une ou l'autre des parties qui le composent, ce qui facilite le regroupement de principaux.

Exemple--Modification des privilèges d'administration Kerberos

L'entrée suivante du fichier kadm5.acl permet d'accorder tous les privilèges sur la base de données aux principaux du secteur ACME.COM comportant l'instance admin.

*/admin@ACME.COM *

L'entrée suivante du fichier kadm5.acl accorde au principal jdb@ACME.COM le privilège d'ajouter, de répertorier et d'interroger les principaux comportant l'instance root.

jdb@ACME.COM ali */root@ACME.COM