Код | Описание |
---|---|
а | Позволяет добавлять принципалов или политики |
А | Запрещает добавлять принципалов или политики |
d | Позволяет удалять принципалов или политики |
D | Запрещает удалять принципалов или политики |
m | Позволяет модифицировать принципалов или политики |
M | Запрещает модифицировать принципалов или политики |
с | Позволяет изменять пароли принципалов |
С | Запрещает изменять пароли принципалов |
i | Позволяет передавать запросы базе данных |
I | Запрещает передавать запросы базе данных |
1 | Позволяет выводить списки принципалов или политик из базы данных |
L | Запрещает выводить списки принципалов или политик из базы данных |
x или * | Признак групповой операции |
Последнее поле (Целевой принципал) может отсутствовать. Оно определяет имена принципалов, к которыми применяются заданные полномочия. Например, вы можете ограничить возможности пользователя по доступу и модификации прав конкретных принципалов. Как и при определении принципала Kerberos, в идентификаторе целевого принципала можно использовать символ "*
".
Рассмотрим в качестве примера следующую запись:
Эта запись предоставляет всем принципалам экземпляра admin
полный доступ к базе данных Kerberos. Подобная запись включается в файл по умолчанию. Первое, что надо сделать, — модифицировать запись так, чтобы она соответствовала нужной вам области.
Для администрирования базы пользователей Kerberos применяются программы kadmin
и kadmin.local
. Программа kadmin
позволяет администрировать KDC с удаленного компьютера; она организует обмен шифрованными сообщениями. Программа kadmin.local
дает возможность модифицировать базу данных без применения сетевых средств. Вначале необходимо с помощью kadmin.local
создать хотя бы одного пользователя, обладающего правами администратора, затем можно использовать kadmin
для работы с удаленного узла. Очевидно, что удаленное администрирование можно осуществлять только в том случае, если на узле присутствуют специализированные серверы Kerberos, предназначенные для выполнения подобных задач.
При запуске программ kadmin
и kadmin.local
можно задавать различные параметры, определяющие имя принципала, область, администрирование которой будет выполняться, и т.д. Подробную информацию о поддерживаемых параметрах можно получить, обратившись к соответствующим разделам справочной информации. После запуска программы надо ввести команды и данные, которые она запрашивает. Например, чтобы добавить принципала admin/[email protected]
необходимо задать команду addprinc
.
# kadmin.local
Authenticating as principal root/[email protected] with
password.
kadmin.local: addprinc admin/[email protected]
WARNING: no policy specified for admin/[email protected];
defaulting to no policy
Enter password for principal "admin/[email protected]":
Re-enter password for principal "admin/[email protected]":
Principal "admin/[email protected]" created.
Как обычно, при вводе пароля символы не отображаются на экране. Не следует использовать в качестве административного пароля основной ключ.
После создания принципала, предназначенного для администрирования, вам надо сформировать для него kadmin.local
вызвать команду ktadd
.
kadmin.local: ktadd -k /var/kerberos/krb5kdc/kadm5.keytab \
kadmin/admin kadmin/changepw
Вильям Л Саймон , Вильям Саймон , Наталья Владимировна Макеева , Нора Робертс , Юрий Викторович Щербатых
Зарубежная компьютерная, околокомпьютерная литература / ОС и Сети, интернет / Короткие любовные романы / Психология / Прочая справочная литература / Образование и наука / Книги по IT / Словари и Энциклопедии