Kerberos データベースを管理する権限が与えられている少数のユーザーは、Kerberos アクセス制御リスト (ACL) で指定されます。このリストは、ファイル /etc/krb5/kadm5.acl 内のエントリとして保存されます。詳細は、kadm5.acl(4) のマニュアルページを参照してください。
kadm5.acl ファイルにエントリを追加するには、pfedit コマンドを使用します。
# pfedit /usr/krb5/kadm5.acl
kadm5.acl ファイル内のエントリの形式は次のとおりです。
principal privileges [principal-target]
principal – 権限を与える主体を指定します。主体名の任意の部分に「*」のワイルドカードを含めることができます。このワイルドカードは、主体のグループに同じ権限を指定するときに役立ちます。たとえば、admin インスタンスを持つすべての主体を指定する場合は、*/admin@realm を使用します。
admin インスタンスの一般的な使用法は、個別の Kerberos 主体に個別の権限 (Kerberos データベースへの管理アクセスなど) を与えるためであることに注意してください。たとえば、ユーザー jdb が jdb/admin という名前の、管理使用のための主体を持っている場合があります。2 つの主体を持つことにより、ユーザー jdb は、管理権限が必要な場合にのみ jdb/admin チケットを取得します。
privileges – 主体が実行できる操作を指定します。このフィールドは、次のリストにある 1 つ以上の文字の文字列で構成されます。文字が大文字であるか、または指定されていない場合、その操作は許可されません。文字が小文字である場合、その操作は許可されます。
[A]a – 主体またはポリシーの追加を許可します[しません]。
[C]c – 主体のパスワードの変更を許可します[しません]。
[D]d – 主体またはポリシーの削除を許可します[しません]。
[I]i – Kerberos データベースへの照会を許可します[しません]。
[L]l – 主体またはポリシーの一覧表示を許可します[しません]。
[M]m – 主体またはポリシーの変更を許可します[しません]。
x または * – すべての権限 (admcil) を許可します。
principal-target – このフィールドで主体が指定されている場合は、主体の権限がこの主体にのみ適用されます。主体のグループに権限を割り当てるには、principal-target で「*」のワイルドカードを使用します。
kadm5.acl ファイル内の次のエントリは、admin インスタンスを持つ EXAMPLE.COM レルム内の任意の主体に Kerberos データベースに関するすべての特権を与えます。
*/admin@EXAMPLE.COM *
kadm5.acl ファイル内の次のエントリは、jdb@EXAMPLE.COM 主体に、root インスタンスを持つすべての主体の一覧表示とそれらの主体に関する照会を行う権限を与えます。
jdb@EXAMPLE.COM li */root@EXAMPLE.COM