本节提供有关使用 kadmin 命令和 gkadmin GUI 管理 Kerberos 策略的示例。大多数 Kerberos 策略都指定了口令要求。
管理策略的步骤与管理主体的步骤相似。有关更多信息,请参见 kadmin(1M) 和 gkadmin(1M) 手册页。
示例 5-8 查看 Kerberos 策略的列表本示例使用 list_policies 子命令列出所有与 *user* 匹配的策略。如果未指定参数,list_policies 将列出在 Kerberos 数据库中定义的所有策略。
# kadmin kadmin: list_policies *user* testuser financeuser kadmin: quit示例 5-9 查看 Kerberos 策略的属性
本示例使用 get_policy 子命令查看 financeuser 策略的属性。
# /usr/sbin/kadmin.local kadmin.local: get_policy financeuser Policy: financeuser Maximum password life: 13050000 Minimum password life: 10886400 Minimum password length: 8 Minimum number of password character classes: 2 Number of old keys kept: 3 Reference count: 8 Maximum password failures before lockout: 5 Password failure count reset interval: 200 Password lockout duration: 300 kadmin: quit
"Reference count"(引用计数)是分配了此策略的主体数。
示例 5-10 创建新的 Kerberos 口令策略本示例使用 add_policy 子命令创建 build11 策略。此策略要求口令至少包含三类字符。
# kadmin kadmin: add_policy -minclasses 3 build11 kadmin: quit示例 5-11 处理 Kerberos 帐户锁定策略
在本示例中,300 秒内发生了三次验证失败,从而触发长达 900 秒的帐户锁定。
kadmin: add_policy -maxfailure 3 -failurecountinterval "300 seconds"\ -lockoutduration "900 seconds" default
要在 15 分钟内解除锁定,需要执行管理操作。
# /usr/sbin/kadmin -p kws/admin Enter password: xxxxxxxx kadmin: modify_principal -unlock principal示例 5-12 修改 Kerberos 策略
本示例使用 modify_policy 子命令将 build11 策略的最小口令长度更改为八个字符。
# kadmin kadmin: modify_policy -minlength 8 build11 kadmin: quit示例 5-13 删除 Kerberos 策略
本示例使用 delete_policy 子命令删除 build11 策略。
管理员将该策略从使用该策略的所有主体中删除。
# kadmin kadmin: modify_principal -policy build11 *admin*
然后,管理员删除该策略。
kadmin: delete_policy build11 Are you sure you want to delete the policy "build11"? (yes/no): yes kadmin: quit
如果该策略仍分配给某个主体,delete_policy 命令将失败。
示例 5-14 使用 gkadmin GUI 复制 Kerberos 策略在 gkadmin GUI 中,可以通过单击 "Duplicate"(复制)按钮复制所选策略。在 "Policy Name"(策略名称)字段中,为新策略命名。还可以修改已复制的策略属性。相关步骤与使用 gkadmin GUI 复制 Kerberos 主体中所述的步骤相似。