Gestion de Kerberos et d'autres services d'authentification dans Oracle® Solaris 11.2

Quitter la vue de l'impression

 
Mis à jour : Septembre 2014
 
 

Modification des privilèges d'administration Kerberos des principaux

Les utilisateurs qui sont privilégiées et informations d'identification et de les quelques d'administrer la base de données Kerberos sont spécifiés dans la liste de contrôle d'accès (ACL Kerberos). Cette liste est tenue à jour en tant qu'entrées dans un fichier, /etc/krb5/kadm5.acl. Pour plus d'informations, reportez-vous à la page de manuel kadm5.acl(4).

Pour ajouter des entrées au fichier kadm5.acl, utilisez la commande pfedit.

# pfedit /usr/krb5/kadm5.acl

Une entrée dans le fichier kadm5.acl adopte le format suivant :

principal privileges [principal-target]

  • principal : spécifie le principal auquel les privilèges sont accordés. N'importe quelle partie du nom du principal peut inclure le caractère générique "*", ce qui est utile pour fournir les mêmes privilèges pour un groupe de principaux. Par exemple, si vous souhaitez spécifier tous les principaux avec l'instance admin, vous devez utiliser */admin@realm.

    Notez qu'une utilisation commune d'une instance admin consiste à accorder des privilèges séparés (tels que l'accès à l'administration de la base de données Kerberos) à un principal Kerberos séparé. Par exemple, l'utilisateur jdb peut avoir un principal pour l'utilisation administrative, appelé jdb/admin. Le fait d'avoir deux principaux, l'utilisateur jdb obtient jdb/admin uniquement les tickets lorsque vous devez disposer de privilèges d'administration.

  • privileges : cette option permet de spécifier les opérations pouvant être réalisées par le principal. Ce champ est constitué d'une chaîne d'un ou plusieurs caractères de la liste suivante. Si le caractère est majuscule ou non spécifié, l'opération n'est pas autorisée. Si le caractère est minuscule, l'opération est autorisée.

    • [A]a : autorise ou interdit l'ajout des principaux ou des stratégies.

    • [C]c : autorise ou interdit le changement de mots de passe des principaux.

    • [D]d : autorise ou interdit la suppression des principaux ou des stratégies.

    • [I]i : autorise ou interdit la consultation de la base de données Kerberos.

    • [L]l : autorise ou interdit la liste des principaux ou stratégies.

    • [M]m : autorise ou interdit la modification de principaux ou stratégies.

    • x ou * : autorise tous les privilèges (admcil).

  • principal-target : lorsqu'un principal est spécifié dans ce champ, les privilèges de principal s'appliquent à ce principal uniquement. Pour affecter des privilèges à un groupe de principaux, utilisez le caractère générique "*" dans principal-target.

Exemple 5-7  Modification des privilèges d'un principal Kerberos

L'entrée suivante dans le fichier kadm5.acl accorde à tout principal dans le domaine EXAMPLE.COM avec l'instance admin tous les privilèges de la base de données Kerberos :

*/admin@EXAMPLE.COM *

L'entrée suivante dans le fichier kadm5.acl donne au principal jdb@EXAMPLE.COM les privilèges pour répertorier et consulter tout principal qui a l'instance root.

jdb@EXAMPLE.COM li */root@EXAMPLE.COM
Copyright © 2002, 2014, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales
Précédent
Suivant