Sun Enterprise Authentication Mechanism 1.0.1 Handbuch

Ändern der Kerberos-Verwaltungsberechtigungen

Obwohl Ihre Site sicherlich über viele Benutzer-Hauptbenutzer verfügt, möchten Sie normalerweise nur einigen von ihnen die Möglichkeit zur Verwaltung der Kerberos-Datenbank bieten. Die Berechtigungen für die Verwaltung der Kerberos-Datenbank werden in der Datei für die Kerberos-Zugriffssteuerungsliste (ACL, Access Control List) kadm5.acl(4) bestimmt. Mit der Datei kadm5.acl können Sie Berechtigungen für einzelne Hauptbenutzer erteilen oder zurücknehmen. Sie können auch den Platzhalter '*' in Hauptbenutzernamen verwenden, um Berechtigungen für Hauptbenutzergruppen festzulegen.

Melden Sie sich als Superuser beim Master-KDC an.

Bearbeiten Sie die Datei /etc/krb5/kadm5.acl.

Einträge in der Datei kadm5.acl müssen das folgende Format besitzen:

Hauptbenutzer   Berechtigungen  [Hauptbenutzer_Ziel]

`Hauptbenutzer`	Der Hauptbenutzer, dem die Berechtigungen erteilt werden. Jeder Teil des Hauptbenutzernamens kann den Platzhalter '' einbeziehen, der bei der Erteilung derselben Berechtigungen zu einer Hauptbenutzergruppe hilfreich ist. Wenn Sie z. B. alle Hauptbenutzer mit der Instanz `admin` festlegen möchten, verwenden Sie `/admin@Bereich`. Beachten Sie, dass eine häufige Verwendung der Instanz `admin` die Erteilung separater Berechtigungen (wie der Verwaltungszugriff auf die Kerberos-Datenbank) für einen separatem Kerberos-Hauptbenutzer darstellt. Der Benutzer `jdb` könnte z. B. einen Hauptbenutzer namens `jdb/admin` für diese Verwaltungsaufgabe besitzen. Auf diese Weise erhält `jdb` Tickets für `jdb/admin` nur dann, wenn er diese Berechtigungen tatsächlich verwenden muss.
`Berechtigungen`	Legen fest, welche Operationen vom Hauptbenutzer durchgeführt werden können. Sie bestehen aus einer Zeichenfolge aus einem oder mehreren Zeichen der folgenden Liste oder ihren Entsprechungen in Großbuchstaben. Wenn es sich bei dem Zeichen um einen Großbuchstaben handelt (oder es nicht angegeben wurde), dann wurde die Operation abgelehnt. Ein Kleinbuchstabe als Zeichen weist auf eine zugelassene Operation hin.
	`a`	Erlaubt das Hinzufügen von Hauptbenutzern und Richtlinien [nicht].
	`d`	Erlaubt das Löschen von Hauptbenutzern und Richtlinien [nicht].
	`m`	Erlaubt das Ändern von Hauptbenutzern und Richtlinien [nicht].
	`c`	Erlaubt das Ändern von Passwörtern für Hauptbenutzer [nicht].
	`i`	Erlaubt Anfragen bei der Datenbank [nicht].
	`l`	Erlaubt das Aufführen von Hauptbenutzern und Richtlinien [nicht].
	`x` oder `*`	Erlaubt alle Berechtigungen (`admcil`)
`Hauptbenutzer_Ziel`	Wenn in diesem Feld ein Hauptbenutzer festgelegt wurde, werden die `Berechtigungen` nur dann dem `Hauptbenutzer` zugewiesen, wenn er auf dem `Hauptbenutzer_Ziel` aktiv ist. Jeder Teil des Hauptbenutzernamens kann den Platzhalter '*' enthalten, der bei der Gruppierung von Hauptbenutzern hilfreich ist.

Beispiel-- Ändern der Kerberos-Verwaltungsberechtigungen

Mit dem folgenden Eintrag in der Datei kadm5.acl werden jedem Hauptbenutzer im Bereich ACME.COM mit der Instanz admin alle Berechtigungen für die Datenbank erteilt.

*/admin@ACME.COM *

Mit dem folgenden Eintrag in der Datei kadm5.acl wird dem Hauptbenutzer jdb@ACME.COM die Berechtigung zum Hinzufügen und Aufführen erteilt sowie die Berechtigung, Anfragen zu jedem Hauptbenutzer zu stellen, der die Instanz root besitzt.

jdb@ACME.COM ali */root@ACME.COM