Kerberos 관리 권한 수정 방법
사이트에 사용자 주체가 많이 있을 수도 있지만 대개 소수의 사용자만이 Kerberos 데이터베이스를 관리할 수 있게 됩니다. Kerberos 데이터베이스 관리 권한은 Kerberos 액세스 제어 목록(ACL) 파일인 kadm5.acl(4)에 지정됩니다. 사용자는 kadm5.acl 파일에서 개별 주체에 대해 권한을 허용하거나 허용하지 않을 수 있습니다. 주체 이름에 '*' 와일드카드를 사용하여 주체 그룹에 대한 권한을 지정할 수도 있습니다.
-
마스터 KDC의 수퍼유저가 됩니다.
-
/etc/krb5/kadm5.acl 파일을 편집합니다.
kadm5.acl 파일의 항목은 다음과 같은 형식이어야 합니다.
주체 권한 [주체목표]
주체
권한이 부여된 주체입니다. 주체 이름의 모든 부분에 '*' 와일드카드를 사용할 수 있으며, 이것은 특정 주체 그룹에 동일한 권한을 부여할 때 유용합니다. 예를 들어, admin 이 포함된 모든 주체를 지정하려면 */admin@realm을 사용합니다. admin은 주로 각 Kerberos 주체에 각기 다른 권한(예: Kerberos 데이터베이스에 대한 관리 액세스)을 부여할 때 사용합니다. 예를 들어, 사용자 jdb는 jdb/admin이라는 관리 사용 주체를 가질 수 있습니다. 즉, jdb는 이러한 권한이 실제로 필요할 때만 jdb/admin 티켓을 받습니다.
권한
주체가 수행할 수 있는 작업과 수행할 수 없는 작업을 지정합니다. 이러한 권한은 다음 목록에 표시된 문자나 해당 문자의 대문자로 구성된 문자열로 표시됩니다. 대문자이거나 지정하지 않을 경우 해당 작업은 허용되지 않고, 소문자이면 작업이 허용됩니다.
a
주체나 정책의 추가를 허용합니다[허용하지 않습니다].
d
주체나 정책의 삭제를 허용합니다[허용하지 않습니다].
m
주체나 정책의 수정을 허용합니다[허용하지 않습니다].
c
주체의 암호 변경을 허용합니다[허용하지 않습니다].
i
데이터베이스 조회를 허용합니다[허용하지 않습니다].
l
[데이터베이스의 주체 또는 정책 목록 조회를 허용합니다[허용하지 않습니다].
x 또는 *
모든 권한을 허용합니다(admcil).
principal_target
이 필드에 주체를 지정하면, 권한은 주체가 principal_target에서 작동할 경우에만 주체에 적용됩니다. 주체 이름의 모든 부분에 '*' 와일드카드를 사용할 수 있으며, 이것은 주체를 그룹화하는 데 유용합니다.
예-Kerberos 관리 권한 수정
kadm5.acl 파일의 다음 항목은 admin이 있는 ACME.COM 영역의 모든 주체에게 데이터베이스에 대한 모든 권한을 부여합니다.
*/admin@ACME.COM * |
kadm5.acl 파일의 다음 항목은 jdb@ACME.COM 주체에게 root가 들어 있는 모든 주체를 추가, 나열, 조회할 수 있는 권한을 부여합니다.
jdb@ACME.COM ali */root@ACME.COM |
- © 2010, Oracle Corporation and/or its affiliates