Читаем Сетевые средства Linux полностью

Сетевые средства Linux

Код	Описание
`а`	Позволяет добавлять принципалов или политики
`А`	Запрещает добавлять принципалов или политики
`d`	Позволяет удалять принципалов или политики
`D`	Запрещает удалять принципалов или политики
`m`	Позволяет модифицировать принципалов или политики
`M`	Запрещает модифицировать принципалов или политики
`с`	Позволяет изменять пароли принципалов
`С`	Запрещает изменять пароли принципалов
`i`	Позволяет передавать запросы базе данных
`I`	Запрещает передавать запросы базе данных
`1`	Позволяет выводить списки принципалов или политик из базы данных
`L`	Запрещает выводить списки принципалов или политик из базы данных
`x` или `*`	Признак групповой операции

Последнее поле (Целевой принципал) может отсутствовать. Оно определяет имена принципалов, к которыми применяются заданные полномочия. Например, вы можете ограничить возможности пользователя по доступу и модификации прав конкретных принципалов. Как и при определении принципала Kerberos, в идентификаторе целевого принципала можно использовать символ "*".

Рассмотрим в качестве примера следующую запись:

*/admin@THREEROOMCO.COM *

Эта запись предоставляет всем принципалам экземпляра admin полный доступ к базе данных Kerberos. Подобная запись включается в файл по умолчанию. Первое, что надо сделать, — модифицировать запись так, чтобы она соответствовала нужной вам области.

Создание принципалов

Для администрирования базы пользователей Kerberos применяются программы kadmin и kadmin.local. Программа kadmin позволяет администрировать KDC с удаленного компьютера; она организует обмен шифрованными сообщениями. Программа kadmin.local дает возможность модифицировать базу данных без применения сетевых средств. Вначале необходимо с помощью kadmin.local создать хотя бы одного пользователя, обладающего правами администратора, затем можно использовать kadmin для работы с удаленного узла. Очевидно, что удаленное администрирование можно осуществлять только в том случае, если на узле присутствуют специализированные серверы Kerberos, предназначенные для выполнения подобных задач.

При запуске программ kadmin и kadmin.local можно задавать различные параметры, определяющие имя принципала, область, администрирование которой будет выполняться, и т.д. Подробную информацию о поддерживаемых параметрах можно получить, обратившись к соответствующим разделам справочной информации. После запуска программы надо ввести команды и данные, которые она запрашивает. Например, чтобы добавить принципала admin/admin@THREEROOMCO.COM необходимо задать команду addprinc.

# kadmin.local

Authenticating as principal root/admin@THREEROOMCO.COM with

password.

kadmin.local: addprinc admin/admin@THREEROOMCO.COM

WARNING: no policy specified for admin/admin@THREEROOMCO.COM;

defaulting to no policy

Enter password for principal "admin/admin@THREEROOMCO.COM":

Re-enter password for principal "admin/admin@THREEROOMCO.COM":

Principal "admin/admin@THREEROOMCO.COM" created.

На заметку

Как обычно, при вводе пароля символы не отображаются на экране. Не следует использовать в качестве административного пароля основной ключ.

После создания принципала, предназначенного для администрирования, вам надо сформировать для него ярлык (keytab). Ярлык — это ключ, который Kerberos использует для расшифровки административных билетов. Вам нет необходимости задавать этот ключ; Kerberos сгенерирует его самостоятельно. Достаточно лишь указать системе на необходимость выполнения этого действия, для чего следует в среде kadmin.local вызвать команду ktadd.

kadmin.local: ktadd -k /var/kerberos/krb5kdc/kadm5.keytab \

kadmin/admin kadmin/changepw

Перейти на страницу: