若要新增或從 Kerberos 資料庫移除主體而不直接存取 KDC 的主控台,請告知 Kerberos 管理伺服器允許哪些主體執行何種動作。請編輯檔案 /var/lib/kerberos/krb5kdc/kadm5.acl
以完成此動作。ACL (存取控制檔案) 檔案讓您以良好的控制層次來指定權限。如需詳細資訊,請使用 man 8 kadmind
參考手冊頁面。
目前,將以下這一行放在檔案中,授與您自己對資料庫做任何想做的事情之權限:
newbie/admin *
將 newbie
使用者名稱以您自己的名稱取代。重新啟動 kadmind 讓變更生效。
現在,您應該可以使用 kadmin 工具來遠端執行 Kerberos 管理任務。首先,取得您管理角色的票證,並在連線到 kadmin 伺服器時使用該票證:
kadmin -p newbie/admin Authenticating as principal newbie/admin@EXAMPLE.COM with password. Password for newbie/admin@EXAMPLE.COM: kadmin: getprivs current privileges: GET ADD MODIFY DELETE kadmin:
使用 getprivs 指令,確認您擁有的權限。上列清單是全部的權限。
如範例所示修改 newbie
主體:
kadmin -p newbie/admin Authenticating as principal newbie/admin@EXAMPLE.COM with password. Password for newbie/admin@EXAMPLE.COM: kadmin: getprinc newbie Principal: newbie@EXAMPLE.COM Expiration date: [never] Last password change: Wed Jan 12 17:28:46 CET 2005 Password expiration date: [none] Maximum ticket life: 0 days 10:00:00 Maximum renewable life: 7 days 00:00:00 Last modified: Wed Jan 12 17:47:17 CET 2005 (admin/admin@EXAMPLE.COM) Last successful authentication: [never] Last failed authentication: [never] Failed password attempts: 0 Number of keys: 2 Key: vno 1, Triple DES cbc mode with HMAC/sha1, no salt Key: vno 1, DES cbc mode with CRC-32, no salt Attributes: Policy: [none] kadmin: modify_principal -maxlife "8 hours" newbie Principal "newbie@EXAMPLE.COM" modified. kadmin: getprinc joe Principal: newbie@EXAMPLE.COM Expiration date: [never] Last password change: Wed Jan 12 17:28:46 CET 2005 Password expiration date: [none] Maximum ticket life: 0 days 08:00:00 Maximum renewable life: 7 days 00:00:00 Last modified: Wed Jan 12 17:59:49 CET 2005 (newbie/admin@EXAMPLE.COM) Last successful authentication: [never] Last failed authentication: [never] Failed password attempts: 0 Number of keys: 2 Key: vno 1, Triple DES cbc mode with HMAC/sha1, no salt Key: vno 1, DES cbc mode with CRC-32, no salt Attributes: Policy: [none] kadmin:
這樣會將最大票證存在時間變更為八小時。如需關於 kadmin 指令與可用選項的詳細資訊,請參閱 http://web.mit.edu/kerberos/www/krb5-1.4/krb5-1.4/doc/krb5-admin.html#Kadmin%20Options 或 man 8 kadmin
。