Gestión de Kerberos y otros servicios de autenticación en Oracle® Solaris 11.2

Salir de la Vista de impresión

 
Actualización: Septiembre de 2014
 
 

Modificación de los privilegios de administración de los principales de Kerberos

Los pocos usuarios que tienen privilegios para administrar la base de datos de Kerberos se especifican en la lista de control de acceso de Kerberos (ACL). Esta lista se mantiene como entradas de un archivo, /etc/krb5/kadm5.acl. Para obtener más información, consulte la página del comando man kadm5.acl(4).

Para agregar entradas al archivo kadm5.acl, utilice el comando pfedit.

# pfedit /usr/krb5/kadm5.acl

Una entrada en el archivo kadm5.acl tiene el siguiente formato:

principal privileges [principal-target]

  • principal: especifica el principal al que se le otorgan los privilegios. Cualquier parte del nombre del principal puede incluir el comodín '*', que es útil para proporcionar los mismos privilegios para un grupo de principales. Por ejemplo, si desea especificar todos los principales con la instancia admin, debe utilizar */admin@realm.

    Tenga en cuenta que un uso común de una instancia admin es conceder privilegios independientes (por ejemplo, acceso administrativo a la base de datos de Kerberos) a un principal de Kerberos individual. Por ejemplo, el usuario jdb puede tener un principal para el uso administrativo, denominado jdb/admin. Al tener dos principales, el usuario jdb obtiene tickets de jdb/admin sólo cuando se necesitan privilegios administrativos.

  • privilegios: especifica qué operaciones puede realizar el principal. Este campo consta de una cadena compuesta por uno o varios caracteres de la siguiente lista. Si el carácter está en mayúscula o no se ha especificado, la operación está prohibida. Si el carácter está en minúscula, la operación está permitida.

    • [A]a: permite o prohíbe la agregación de principales o políticas.

    • [C]c: permite o prohíbe el cambio de contraseñas para principales.

    • [D]d: permite o prohíbe la eliminación de principales o políticas.

    • [I]i: permite o prohíbe la base de datos de Kerberos.

    • [L]l: permite o prohíbe la enumeración de principales o políticas.

    • [M]m: permite o prohíbe la modificación de principales o políticas.

    • x o *: permite todos los privilegios (admcil).

  • destino_principal: cuando se especifica un principal en este campo, los privilegios del principal se aplican únicamente al principal. Para asignar privilegios a un grupo de principales, utilice el comodín '*' en destino_principal.

Ejemplo 5-7  Modificación de privilegios de un principal de Kerberos

La siguiente entrada en el archivo kadm5.acl otorga a cualquier principal del dominio EXAMPLE.COM con la instancia admin todos los privilegios de la base de datos de Kerberos:

*/admin@EXAMPLE.COM *

La siguiente entrada del archivo kadm5.acl le otorga al principal jdb@EXAMPLE.COM los privilegios para mostrar y consultar cualquier principal que tenga la instancia root.

jdb@EXAMPLE.COM li */root@EXAMPLE.COM
Copyright © 2002, 2014, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior
Siguiente