이 절에서는 kadmin 명령 및 gkadmin GUI를 사용하여 Kerberos 정책을 관리하는 예를 제공합니다. 대부분의 Kerberos 정책은 암호 요구 사항을 지정합니다.
정책을 관리하는 단계는 주체를 관리하는 단계와 비슷합니다. 자세한 내용은 kadmin(1M) 및 gkadmin(1M) 매뉴얼 페이지를 참조하십시오.
예 5-8 Kerberos 정책 목록 보기이 예에서는 list_policies 하위 명령을 사용하여 *user*와 일치하는 모든 정책을 나열합니다. 인수를 지정하지 않을 경우 list_policies는 Kerberos 데이터베이스에 정의된 모든 정책을 나열합니다.
# kadmin kadmin: list_policies *user* testuser financeuser kadmin: quit예 5-9 Kerberos 정책의 속성 보기
이 예에서는 get_policy 하위 명령을 사용하여 financeuser 정책의 속성을 봅니다.
# /usr/sbin/kadmin.local kadmin.local: get_policy financeuser Policy: financeuser Maximum password life: 13050000 Minimum password life: 10886400 Minimum password length: 8 Minimum number of password character classes: 2 Number of old keys kept: 3 Reference count: 8 Maximum password failures before lockout: 5 Password failure count reset interval: 200 Password lockout duration: 300 kadmin: quit
참조 수는 이 정책이 지정된 주체 수를 나타냅니다.
예 5-10 새 Kerberos 암호 정책 만들기이 예에서는 add_policy 하위 명령을 사용하여 build11 정책을 만듭니다. 이 정책을 사용하려면 암호에 적어도 3개의 문자 클래스가 필요합니다.
# kadmin kadmin: add_policy -minclasses 3 build11 kadmin: quit예 5-11 Kerberos 계정 잠금 정책 처리
이 예에서는 300초의 범위 동안 인증이 세 번 실패하면 900초 동안의 계정 잠금이 트리거됩니다.
kadmin: add_policy -maxfailure 3 -failurecountinterval "300 seconds"\ -lockoutduration "900 seconds" default
15분이 되기 전에 잠금을 해제하려면 관리 작업을 수행해야 합니다.
# /usr/sbin/kadmin -p kws/admin Enter password: xxxxxxxx kadmin: modify_principal -unlock principal예 5-12 Kerberos 정책 수정
이 예에서는 modify_policy 하위 명령을 사용하여 build11 정책에 대해 최소 암호 길이를 8자로 변경합니다.
# kadmin kadmin: modify_policy -minlength 8 build11 kadmin: quit예 5-13 Kerberos 정책 삭제
이 예에서는 delete_policy 하위 명령을 사용하여 build11 정책을 삭제합니다.
관리자가 정책을 사용하는 모든 주체에서 정책을 제거합니다.
# kadmin kadmin: modify_principal -policy build11 *admin*
그런 다음 정책을 삭제합니다.
kadmin: delete_policy build11 Are you sure you want to delete the policy "build11"? (yes/no): yes kadmin: quit
정책이 주체에 지정되어 있으면 delete_policy 명령이 실패합니다.
예 5-14 gkadmin GUI를 사용하여 Kerberos 정책 복제gkadmin GUI에서 Duplicate(복제) 버튼을 눌러 선택한 정책을 복제할 수 있습니다. Policy Name(정책 이름) 필드에서 새 정책의 이름을 지정합니다. 복제한 정책 속성을 수정할 수도 있습니다. 단계는 gkadmin GUI를 사용하여 Kerberos 주체 복제의 단계와 비슷합니다.