如何修改 Kerberos 管理權限
雖然您的網站可以有許多位使用者主管,最好只讓少數的使用者來管理 Kerberos 資料庫。管理 Kerberos 資料庫的權限是由 Kerberos 存取控制清單 (ACL) 檔案 kadm5.acl(4) 決定的。kadm5.acl 檔案可以讓您允許或否決個別主管的權限,或者您可以使用主管名稱中的 '*' 萬用字元來指定主管群組的權限。
-
在主 KDC 之上成為超級使用者。
-
編輯 /etc/krb5/kadm5.acl 檔案。
kadm5.acl 檔案中的一個項目必須為下列格式﹕
主管 權限 [principal_target]
主管
被賦予權限的主管。任何部份的主管名稱都可以包括 '*' 萬用字元,這在提供一個主管群組相同的權限時很有用。例如,若您想為所有主管指定 admin 實例,您就應該使用 */admin@範疇。請注意,admin實例通常的用法是將個別的權限(如管理存取給 Kerberos 資料庫)賦予個別的 Kerberos 主管。例如,使用者 jdb 可能有一個供其管理用途的主管,稱為 jdb/admin。這樣一來,jdb 就只能在實際需要使用那些權限時才能取得 jdb/admin 許可證。
權限
指定主管可以或無法執行何種操作。這是一或多個下列字元的字串或其大寫相同字母的清單。如果字元是大寫(或未指定),操作便不被允許。如果字元是小寫的,那麼操作就被准許。
a
[Dis]允許附加主管或政策。
d
[Dis] 允許刪除主管或政策。
m
[Dis]允許修改主管或政策。
c
[Dis]允許變更主管的密碼。
i
[Dis]允許資料庫查詢。
l
[Dis]允許資料庫中的主管或政策清單。
x 或 *
允許所有的權限(admcil)。
principal_target
在此欄位中指定一位主管時,權限只有在 principal_target 之上操作時才會套用至主管。主管名稱的任何部份都可以包括 '*' 萬用字元,對群組主管很有幫助。
範例-修改 Kerberos 管理權限
下列 kadm5.acl 檔案中的項目會賦予 ACME.COM 範疇中有 admin 實例的任何主管資料庫的所有使用權限。
*/admin@ACME.COM * |
下列 kadm5.acl 檔案中的項目會賦予 jdb@ACME.COM 主管新增、列出、與查詢任何有 root 實例主管的權限。
jdb@ACME.COM ali */root@ACME.COM |
- © 2010, Oracle Corporation and/or its affiliates