このセクションでは、kadmin コマンドを使用して Kerberos ポリシーを管理する例を示します。ほとんどの Kerberos ポリシーでパスワード要件が指定されます。
ポリシーを管理するための手順は、主体を管理するための手順とほぼ同じです。詳細は、kadmin(1M) のマニュアルページを参照してください。
使用例 28 Kerberos ポリシーのリストの表示この例では、list_policies サブコマンドを使用して、*user* に一致するすべてのポリシーを一覧表示します。引数を指定しない場合、list_policies は、Kerberos データベースで定義されているすべてのポリシーを一覧表示します。
# kadmin kadmin: list_policies *user* testuser financeuser kadmin: quit使用例 29 Kerberos ポリシーの属性の表示
この例では、get_policy サブコマンドを使用して、financeuser ポリシーの属性を表示します。
# /usr/sbin/kadmin.local kadmin.local: get_policy financeuser Policy: financeuser Maximum password life: 13050000 Minimum password life: 10886400 Minimum password length: 8 Minimum number of password character classes: 2 Number of old keys kept: 3 Reference count: 8 Maximum password failures before lockout: 5 Password failure count reset interval: 200 Password lockout duration: 300 kadmin: quit
「Reference count」は、このポリシーが割り当てられている主体の数です。
使用例 30 新しい Kerberos パスワードポリシーの作成この例では、add_policy サブコマンドを使用して build11 ポリシーを作成します。このポリシーでは、パスワード内に少なくとも 3 種類以上の文字クラスが必要です。
# kadmin kadmin: add_policy -minclasses 3 build11 kadmin: quit使用例 31 Kerberos アカウントのロックアウトポリシーの処理
この例では、300 秒の間に認証失敗が 3 回発生すると、900 秒のアカウントのロックアウトがトリガーされます。
kadmin: add_policy -maxfailure 3 -failurecountinterval "300 seconds"\ -lockoutduration "900 seconds" default
15 分以内にロックを解除するには、管理アクションが必要になります。
# /usr/sbin/kadmin -p kws/admin Enter password: xxxxxxxx kadmin: modify_principal -unlock principal使用例 32 Kerberos ポリシーの変更
この例では、modify_policy サブコマンドを使用して、build11 ポリシーでの最小パスワード長を 8 文字に変更します。
# kadmin kadmin: modify_policy -minlength 8 build11 kadmin: quit使用例 33 Kerberos ポリシーの削除
この例では、delete_policy サブコマンドを使用して build11 ポリシーを削除します。
管理者はそのポリシーを、それを使用するすべての主体から削除します。
# kadmin kadmin: modify_principal -policy build11 *admin*
次に、管理者はそのポリシーを削除します。
kadmin: delete_policy build11 Are you sure you want to delete the policy "build11"? (yes/no): yes kadmin: quit
そのポリシーが主体に割り当てられている場合は、delete_policy コマンドが失敗します。