Kerberos 데이터베이스를 관리할 수 있는 권한을 가진 소수의 사용자는 액세스 제어 목록(ACL)에 지정되어 있습니다. 이 목록은 /etc/krb5/kadm5.acl 파일에서 항목으로 유지 관리됩니다. 자세한 내용은 kadm5.acl(4) 매뉴얼 페이지를 참조하십시오.
항목을 kadm5.acl 파일에 추가하려면 pfedit 명령을 사용합니다.
# pfedit /usr/krb5/kadm5.acl
kadm5.acl 파일에 있는 항목의 형식은 다음과 같습니다.
principal privileges [principal-target]
principal – 권한이 부여될 주체를 지정합니다. 주체 이름의 일부에 '*' 와일드카드가 포함될 수 있는데, 이는 주체 그룹에 대해 동일한 권한을 제공할 경우에 유용합니다. 예를 들어 admin 인스턴스를 포함하는 모든 주체를 지정하려는 경우, */admin@realm을 사용하십시오.
admin 인스턴스는 일반적으로 Kerberos 주체별로 별도의 권한(예: Kerberos 데이터베이스에 대한 관리 액세스 권한)을 부여하는 데 사용됩니다. 예를 들어 사용자 jdb에게는 관리용 주체인 jdb/admin이 있을 수 있습니다. 주체가 둘이므로 사용자 jdb는 관리 권한이 필요한 경우에만 jdb/admin 티켓을 얻게 됩니다.
privileges – 주체가 수행하거나 수행할 수 없는 작업을 지정합니다. 이 필드는 다음 문자 목록으로 된 문자열로 구성됩니다. 문자가 대문자이거나 지정되지 않은 경우 작업이 허용되지 않습니다. 소문자일 경우 작업이 허용됩니다.
[A]a – 주체 또는 정책의 추가를 허용하거나 허용하지 않습니다.
[C]c – 주체 암호 변경을 허용하거나 허용하지 않습니다.
[D]d – 주체 또는 정책의 삭제를 허용하거나 허용하지 않습니다.
[I]i – erberos 데이터베이스에 대한 조회를 허용하거나 허용하지 않습니다.
[L]l – 주체 또는 정책의 삭제를 허용하거나 허용하지 않습니다.
[M]m – 주체 또는 정책의 수정을 허용하거나 허용하지 않습니다.
x or * – 모든 권한을 허용합니다(admcil).
principal-target – 이 필드에 주체가 지정된 경우 주체의 권한이 해당 주체에만 적용됩니다. 주체 그룹에 권한을 지정하려면 principal-target에 '*' 와일드카드를 사용합니다.
kadm5.acl 파일의 다음 항목은 admin 인스턴스를 포함하는 EXAMPLE.COM 영역의 주체에 Kerberos 데이터베이스에 대한 모든 권한을 부여합니다.
*/admin@EXAMPLE.COM *
kadm5.acl 파일의 다음 항목은 root 인스턴스를 포함하는 주체를 나열하고 이 주체에 대해 조회할 수 있는 권한을 jdb@EXAMPLE.COM 주체에 부여합니다.
jdb@EXAMPLE.COM li */root@EXAMPLE.COM