test

Manuale di Sun Enterprise Authentication Mechanism

Modificare i privilegi di amministrazione Kerberos

Anche se nel sito sono configurati numerosi nomi principali di utenti, in genere solo alcuni di questi utenti sono autorizzati ad amministrare il database di Kerberos. I privilegi per l'amministrazione del database di Kerberos sono determinati dal file delle liste di controllo degli accessi (ACL) di Kerberos, kadm5.acl(4). Il file kadm5.acl permette di assegnare o revocare i privilegi per singoli nomi principali; oppure, è possibile usare il carattere speciale '*' nel nome principale per specificare i privilegi per gruppi di nomi principali.

  1. Diventare superutente sul KDC master.

  2. Aprire con un editor il file /etc/krb5/kadm5.acl.

    Le voci del file kadm5.acl devono avere il seguente formato:


    nome_principale   privilegi  [target_nome_principale]

    nome_principale

    È il nome principale a cui vengono assegnati i privilegi. Qualunque parte del nome principale può contenere il carattere '*', utile per assegnare gli stessi privilegi ad un gruppo di nomi principali. Ad esempio, se si desidera specificare tutti i nomi principali con l'istanza admin, occorrerà usare */admin@settore. In molti casi, l'istanza admin viene usata per assegnare privilegi separati (come l'accesso di amministrazione al database di Kerberos) a un nome principale separato di Kerberos. Ad esempio, l'utente jdb potrebbe avere un nome principale separato per l'uso amministrativo, denominato jdb/admin. In questo modo, jdb potrà ottenere i ticket per jdb/admin solo quando avrà effettivamente bisogno di usare tali privilegi.

    privilegi

    Specifica quali operazioni possono e non possono essere eseguite dal nome principale. È una stringa contenente uno o più caratteri tra quelli sotto elencati, minuscoli o maiuscoli. Se il carattere è maiuscolo (o non è specificato), l'operazione corrispondente non può essere eseguita. Se il carattere è minuscolo, l'operazione è consentita. 

     

    a

    [Dis]abilita l'aggiunta di nomi principali o criteri. 

     

    d

    [Dis]abilita l'eliminazione di nomi principali o criteri. 

     

    m

    [Dis]abilita la modifica di nomi principali o criteri. 

     

    c

    [Dis]abilita la modifica delle password per i nomi principali. 

     

    i

    [Dis]abilita le interrogazioni al database. 

     

    l

    [Dis]abilita la visualizzazione degli elenchi dei nomi principali o dei criteri nel database. 

     

    x o *

    Assegna tutti i privilegi (admcil).

    target_nome_principale

    Se in questo campo viene specificato un nome principale, i privilegi vengono applicati al nome_principale solo quando questo opera sul target_nome_principale. Qualunque parte del nome principale può contenere il carattere speciale '*', utile per raggruppare più nomi principali con caratteristiche comuni.

Esempio: Modifica dei privilegi di amministrazione di Kerberos

La riga seguente nel file kadm5.acl assegna a tutti i nomi principali del settore SPA.IT con l'istanza admin tutti i privilegi per il database.


*/admin@SPA.IT *

La riga seguente nel file kadm5.acl assegna al nome principale jdb@SPA.IT i privilegi per aggiungere, visualizzare ed eseguire interrogazioni su tutti i nomi principali con l'istanza root.


jdb@SPA.IT ali */root@SPA.IT