test

Sun Guía de Sun Enterprise Authentication Mechanism

Modificación de los privilegios de administración de Kerberos

Es probable que su sede tenga muchos principales de usuario, pero habitualmente querrá que sólo unos pocos usuarios puedan administrar la base de datos de Kerberos. Los privilegios para administrar ésta vienen determinados por el archivo de Lista de control de acceso (LCA) de Kerberos, kadm5.acl(4). En el archivo kadm5.acl puede permitir o rehusar los privilegios para determinados principales; o también se puede utilizar el comodín '*' para especificar los privilegios para grupos de principales.

  1. Conviértase en superusuario en el KDC maestro.

  2. Edite el archivo /etc/krb5/kadm5.acl.

    Las entradas del archivo kadm5.acl deben tener el formato siguiente:


    principal   privilegios  [destino_principal]

    principal

    El principal al que se conceden los privilegios. Cualquier parte del nombre del principal puede incluir el comodín '*', que resulta útil para proporcionar los mismos privilegios a un grupo de principales. Por ejemplo, si desea especificar todos los principales con el ejemplar admin, podría utilizar */admin@ámbito. Tenga en cuenta que un uso habitual de un ejemplar de admin es la concesión de privilegios independientes a un principal de Kerberos independiente (como el acceso de administración a la base de datos de Kerberos). Por ejemplo, el usuario jdb podría tener un principal para su uso administrativo llamado jdb/admin. De esta forma, jdb únicamente obtiene los cupones de jdb/admin cuando necesita utilizar esos privilegios.

    privilegios

    Especifica qué operaciones puede o no puede llevar a cabo el principal. Se trata de una cadena de uno o varios de la lista de caracteres siguientes y sus correspondientes mayúsculas. Si el carácter está en mayúsculas (o no se especifica), no se permitirá la operación. Si el carácter está en minúsculas, se permitirá la operación. 

     

    a

    [No] permite la adición de principales o normas. 

     

    d

    [No] permite la supresión de principales o normas. 

     

    m

    [No] permite la modificación de principales o normas. 

     

    c

    [No] permite el cambio de las contraseñas de los principales. 

     

    i

    [No] permite las consultas de la base de datos. 

     

    l

    [No] permite los listados de los principales o las normas de la base de datos. 

     

    x o *

    Permite todos los privilegios (admcil).

    destino_principal

    Cuando se especifica un principal en este campo, los privilegios sólo se aplican al principal cuando trabaje en el destino_principal. Cualquier parte del nombre de principal puede incluir el comodín '*', cosa que resulta útil para agrupar los principales.

Ejemplo: modificación de los privilegios de administración de Kerberos

La entrada siguiente del archivo kadm5.acl proporciona todos los privilegios de la base de datos a cualquier principal del ámbito ACME.COM con el ejemplar admin.


*/admin@ACME.COM *

La entrada siguiente del archivo kadm5.acl proporciona al principal jdb@ACME.COM el privilegio para agregar, listar y hacer consultas sobre cualquier principal que tenga el ejemplar root.


jdb@ACME.COM ali */root@ACME.COM