Wenn Sie der Kerberos-Datenbank Prinzpale hinzufügen und entfernen möchten, ohne direkt auf die KDC-Konsole zuzugreifen, müssen Sie dem Kerberos-Administrationsserver mitteilen, welche Berechtigungen bestimmte Prinzipale haben. Bearbeiten Sie hierfür die Datei /var/lib/kerberos/krb5kdc/kadm5.acl
. Die ACL (Zugriffskontrollliste)-Datei ermöglicht die Angabe von Berechtigungen mit einer guten Kontrolle. Weitere Informationen finden Sie auf der man-Seite mit man8 kadmind
.
Gewähren Sie sich selbst die absolute Berechtigung für die Datenbank, indem Sie der Datei folgende Zeile hinzufügen:
newbie/admin *
Ersetzen Sie den Benutzernamen newbie
durch Ihren eigenen. Starten Sie kadmind neu, damit die Änderung wirksam wird.
Jetzt sollten Sie Kerberos-Administrationsaufgaben von einem entfernten Standort mit dem kadmin-Werkzeug durchführen können. Zuerst müssen Sie ein Ticket für Ihre Administrationsrolle abholen und das Ticket bei der Verbindung mit dem kadmin-Server verwenden:
kadmin -p newbie/admin Authenticating as principal newbie/admin@EXAMPLE.COM with password. Password for newbie/admin@EXAMPLE.COM: kadmin: getprivs current privileges: GET ADD MODIFY DELETE kadmin:
Verwenden Sie den Befehl getprivs, um Ihre Berechtigungen zu überprüfen. Die obige Liste enthält alle Berechtigungen.
Als Beispiel, ändern Sie newbie
:
kadmin -p newbie/admin Authenticating as principal newbie/admin@EXAMPLE.COM with password. Password for newbie/admin@EXAMPLE.COM: kadmin: getprinc newbie Principal: newbie@EXAMPLE.COM Expiration date: [never] Last password change: Wed Jan 12 17:28:46 CET 2005 Password expiration date: [none] Maximum ticket life: 0 days 10:00:00 Maximum renewable life: 7 days 00:00:00 Last modified: Wed Jan 12 17:47:17 CET 2005 (admin/admin@EXAMPLE.COM) Last successful authentication: [never] Last failed authentication: [never] Failed password attempts: 0 Number of keys: 2 Key: vno 1, Triple DES cbc mode with HMAC/sha1, no salt Key: vno 1, DES cbc mode with CRC-32, no salt Attributes: Policy: [none] kadmin: modify_principal -maxlife "8 hours" newbie Principal "newbie@EXAMPLE.COM" modified. kadmin: getprinc joe Principal: newbie@EXAMPLE.COM Expiration date: [never] Last password change: Wed Jan 12 17:28:46 CET 2005 Password expiration date: [none] Maximum ticket life: 0 days 08:00:00 Maximum renewable life: 7 days 00:00:00 Last modified: Wed Jan 12 17:59:49 CET 2005 (newbie/admin@EXAMPLE.COM) Last successful authentication: [never] Last failed authentication: [never] Failed password attempts: 0 Number of keys: 2 Key: vno 1, Triple DES cbc mode with HMAC/sha1, no salt Key: vno 1, DES cbc mode with CRC-32, no salt Attributes: Policy: [none] kadmin:
Dadurch wird die maximale Ticketlebensdauer auf acht Stunden geändert. Weitere Informationen zum Befehl kadmin und den verfügbaren Optionen finden Sie unter http://web.mit.edu/kerberos/www/krb5-1.4/krb5-1.4/doc/krb5-admin.html#Kadmin%20Options oder auf der man-Seite man8 kadmin
.