有权管理 Kerberos 数据库的少数用户在 Kerberos 访问控制列表 (Access Control List, ACL) 中指定。此列表作为 /etc/krb5/kadm5.acl 文件中的项进行维护。有关更多信息,请参见 kadm5.acl(4) 手册页。
要将项添加到 kadm5.acl 文件,请使用 pfedit 命令。
# pfedit /usr/krb5/kadm5.acl
kadm5.acl 文件中的项采用以下格式:
principal privileges [principal-target]
principal-指定要授予特权的主体。主体名称的任何部分都可以包含 "*" 通配符,这在为一组主体提供相同特权时很有用。例如,如果要指定包含 admin 实例的所有主体,可使用 */admin@realm。
请注意,admin 实例常用于将单独的特权(如对 Kerberos 数据库的管理访问权限)授予单独的 Kerberos 主体。例如,用户 jdb 可能有一个供管理使用的主体 jdb/admin。通过创建两个主体,用户 jdb 只会在需要管理特权时获取 jdb/admin 票证。
privileges-指定主体可执行的操作。此字段由包含下面列出的一个或多个字符的字符串组成。如果字符为大写或未指定,则不允许执行该操作。如果字符为小写,则允许执行该操作。
[A]a-[不]允许添加主体或策略。
[C]c-[不]允许更改主体的口令。
[D]d-[不]允许删除主体或策略。
[I]i-[不]允许查询 Kerberos 数据库。
[L]l-[不]允许列出主体或策略。
[M]m-[不]允许修改主体或策略。
x 或 *-[不]允许所有特权 (admcil)。
principal-target-在此字段中指定一个主体时,主体的特权仅应用到该主体。要为一组主体分配特权,请在 principal-target 中使用 "*" 通配符。
kadm5.acl 文件中的以下条目授予 EXAMPLE.COM 领域中包含 admin 实例的任何主体对 Kerberos 数据库的所有特权:
*/admin@EXAMPLE.COM *
kadm5.acl 文件中的以下项授予 jdb@EXAMPLE.COM 主体列出和查询包含 root 实例的任何主体的特权。
jdb@EXAMPLE.COM li */root@EXAMPLE.COM