test

Handbok för Sun Enterprise Authentication Mechanism

Så här ändrar du administrationsbehörighet för Kerberos

Du vill troligen bara att ett fåtal av användarna ska ha behörighet att administrera Kerberos-databasen när din plats har många användarprincipaler. Behörighet att administrera Kerberos-databasen bestäms av filen för behörighetslistan för Kerberos, kadm5.acl(4). Med filen kadm5.acl kan du ge olika behörighet för olika principaler. Du kan även använda jokertecknet "*" i principalnamnet för att ange behörighet för grupper av principaler.

  1. Växla till superanvändare på huvud-KDC:n.

  2. Redigera filen /etc/krb5/kadm5.acl.

    Poster i filen kadm5.acl måste anges med följande format:


    principal   behörighet  [principalmål]

    principal

    Principalen som ges behörighet. Valfri del av principalnamnet kan innehålla jokertecknet "*", vilket är användbart när du ska samma behörighet till en grupp principaler. Om du t ex vill ange alla principaler som innehåller admin skriver du */admin@användarkategori. Det är vanligt att admin används för att ge viss behörighet (t ex administrativ åtkomst till Kerberos-databasen) för en enskild Kerberos-principal. Användaren jdb kan t ex ha en principal för administration som heter jdb/admin. På så sätt får jdb biljetter för jdb/admin bara när han eller hon verkligen behöver använda behörigheten.

    behörighet

    Anger vad principalen får och inte får utföra. Det här är en sträng med en eller flera av tecken ur följande lista eller tecknens versala motsvarigheter. Om tecknet är versalt (eller inte angivet) tillåts inte åtgärden. Om tecknet är gement tillåts åtgärden. 

     

    a

    Tillåter att principaler och policies läggs till. 

     

    d

    Tillåter att principaler och policies tas bort. 

     

    m

    Tillåter att principaler och policies ändras. 

     

    c

    Tillåter ändring av lösenord för principaler. 

     

    i

    Tillåter förfrågningar i databasen. 

     

    l

    Tillåter att principaler och policies listas i databasen.  

     

    x eller *

    Ger full behörighet (admcil).

    principalmål

    När en principal anges i det här fältet gäller behörighet endast principal när den utför åtgärder på principalmål. Jokertecknet "*" kan anges på valfri plats i principalnamnet om du vill gruppera principaler.

Exempel - Ändra administrationsbehörighet för Kerberos

Följande post i filen kadm5.acl ger alla principaler i användarkategorin ACME.COM som har admin so en del av sina namn fullständig behörighet till database.


*/admin@ACME.COM *

Följande post i filen kadm5.acl ger principalen jdb@ACME.COM behörighet att lägga till, lista och fråga om valfri principal som har root som en del av namnet.


jdb@ACME.COM ali */root@ACME.COM