En esta sección se proporcionan ejemplos del uso del comando kadmin y la interfaz gráfica de usuario gkadmin para administrar políticas de Kerberos. La mayoría de las políticas de Kerberos especifican requisitos de contraseña.
Los pasos para administrar políticas son similares a los pasos para administrar principales. Para obtener más información, consulte las páginas del comando man kadmin(1M) y gkadmin(1M).
Ejemplo 5-8 Visualización de la lista de las políticas de KerberosEn este ejemplo, el subcomando list_policies se utiliza para mostrar todas las políticas que coinciden con *user*. Sin un argumento, list_policies muestra todas las políticas que se definen en la base de datos de Kerberos.
# kadmin kadmin: list_policies *user* testuser financeuser kadmin: quitEjemplo 5-9 Visualización de los atributos de una política de Kerberos
En este ejemplo, el subcomando get_policy se utiliza para ver los atributos de la política financeuser.
# /usr/sbin/kadmin.local kadmin.local: get_policy financeuser Policy: financeuser Maximum password life: 13050000 Minimum password life: 10886400 Minimum password length: 8 Minimum number of password character classes: 2 Number of old keys kept: 3 Reference count: 8 Maximum password failures before lockout: 5 Password failure count reset interval: 200 Password lockout duration: 300 kadmin: quit
El recuento de referencia (Reference count) es el número de principales que se asignan a esta política.
Ejemplo 5-10 Creación de una nueva política de contraseñas de KerberosEn este ejemplo, el subcomando add_policy se utiliza para crear la política build11. Esta política requiere al menos 3 clases de caracteres en una contraseña.
# kadmin kadmin: add_policy -minclasses 3 build11 kadmin: quitEjemplo 5-11 Manejo de la política de bloqueo de una cuenta de Kerberos
En este ejemplo, tres fallos de autenticación durante un máximo de 300 segundos provocan un bloqueo de cuenta de 900 segundos.
kadmin: add_policy -maxfailure 3 -failurecountinterval "300 seconds"\ -lockoutduration "900 seconds" default
Para liberar el bloqueo en el transcurso de 15 minutos, se requiere una acción de la administración.
# /usr/sbin/kadmin -p kws/admin Enter password: xxxxxxxx kadmin: modify_principal -unlock principalEjemplo 5-12 Modificación de una política Kerberos
En este ejemplo, el subcomando modify_policy se utiliza para cambiar la longitud mínima de una contraseña por ocho caracteres para la política build11.
# kadmin kadmin: modify_policy -minlength 8 build11 kadmin: quitEjemplo 5-13 Supresión de una política de Kerberos
En este ejemplo, el subcomando delete_policy se utiliza para suprimir la política build11.
El administrador elimina la política de todos los principales que la utilizan.
# kadmin kadmin: modify_principal -policy build11 *admin*
A continuación, el administrador suprime la política.
kadmin: delete_policy build11 Are you sure you want to delete the policy "build11"? (yes/no): yes kadmin: quit
El comando delete_policy fallará si la política está asignada a un principal.
Ejemplo 5-14 Duplicación de una política de Kerberos con la interfaz gráfica de usuario gkadminEn la interfaz gráfica de usuario gkadmin, puede duplicar una política seleccionada haciendo clic en el botón Duplicar. En el campo Nombre de la política, nombre la nueva política. También puede modificar los atributos de política que duplica. Los pasos son similares a los pasos en Duplicación de un principal de Kerberos con la interfaz gráfica de usuario gkadmin.