Читаем Сетевые средства Linux полностью

КодОписание
аПозволяет добавлять принципалов или политики
АЗапрещает добавлять принципалов или политики
dПозволяет удалять принципалов или политики
DЗапрещает удалять принципалов или политики
mПозволяет модифицировать принципалов или политики
MЗапрещает модифицировать принципалов или политики
сПозволяет изменять пароли принципалов
СЗапрещает изменять пароли принципалов
iПозволяет передавать запросы базе данных
IЗапрещает передавать запросы базе данных
1Позволяет выводить списки принципалов или политик из базы данных
LЗапрещает выводить списки принципалов или политик из базы данных
x или *Признак групповой операции

Последнее поле (Целевой принципал) может отсутствовать. Оно определяет имена принципалов, к которыми применяются заданные полномочия. Например, вы можете ограничить возможности пользователя по доступу и модификации прав конкретных принципалов. Как и при определении принципала Kerberos, в идентификаторе целевого принципала можно использовать символ "*".

Рассмотрим в качестве примера следующую запись:

*/[email protected] *

Эта запись предоставляет всем принципалам экземпляра admin полный доступ к базе данных Kerberos. Подобная запись включается в файл по умолчанию. Первое, что надо сделать, — модифицировать запись так, чтобы она соответствовала нужной вам области.

Создание принципалов

Для администрирования базы пользователей Kerberos применяются программы kadmin и kadmin.local. Программа kadmin позволяет администрировать KDC с удаленного компьютера; она организует обмен шифрованными сообщениями. Программа kadmin.local дает возможность модифицировать базу данных без применения сетевых средств. Вначале необходимо с помощью kadmin.local создать хотя бы одного пользователя, обладающего правами администратора, затем можно использовать kadmin для работы с удаленного узла. Очевидно, что удаленное администрирование можно осуществлять только в том случае, если на узле присутствуют специализированные серверы Kerberos, предназначенные для выполнения подобных задач.

При запуске программ kadmin и kadmin.local можно задавать различные параметры, определяющие имя принципала, область, администрирование которой будет выполняться, и т.д. Подробную информацию о поддерживаемых параметрах можно получить, обратившись к соответствующим разделам справочной информации. После запуска программы надо ввести команды и данные, которые она запрашивает. Например, чтобы добавить принципала admin/[email protected] необходимо задать команду addprinc.

# kadmin.local

Authenticating as principal root/[email protected] with

password.

kadmin.local: addprinc admin/[email protected]

WARNING: no policy specified for admin/[email protected];

defaulting to no policy

Enter password for principal "admin/[email protected]":

Re-enter password for principal "admin/[email protected]":

Principal "admin/[email protected]" created.

На заметку

Как обычно, при вводе пароля символы не отображаются на экране. Не следует использовать в качестве административного пароля основной ключ.

После создания принципала, предназначенного для администрирования, вам надо сформировать для него ярлык (keytab). Ярлык — это ключ, который Kerberos использует для расшифровки административных билетов. Вам нет необходимости задавать этот ключ; Kerberos сгенерирует его самостоятельно. Достаточно лишь указать системе на необходимость выполнения этого действия, для чего следует в среде kadmin.local вызвать команду ktadd.

kadmin.local: ktadd -k /var/kerberos/krb5kdc/kadm5.keytab \

kadmin/admin kadmin/changepw

Перейти на страницу:

Похожие книги