遠端 Kerberos 管理

若要新增或從 Kerberos 資料庫移除主體而不直接存取 KDC 的主控台,請告知 Kerberos 管理伺服器允許哪些主體執行何種動作。請編輯檔案 /var/lib/kerberos/krb5kdc/kadm5.acl 以完成此動作。ACL (存取控制檔案) 檔案讓您以良好的控制層次來指定權限。如需詳細資訊,請使用 man 8 kadmind 參考手冊頁面。

目前,將以下這一行放在檔案中,授與您自己對資料庫做任何想做的事情之權限:

newbie/admin              *

newbie 使用者名稱以您自己的名稱取代。重新啟動 kadmind 讓變更生效。

使用 kadmin 進行遠端管理

現在,您應該可以使用 kadmin 工具來遠端執行 Kerberos 管理任務。首先,取得您管理角色的票證,並在連線到 kadmin 伺服器時使用該票證:

kadmin -p newbie/admin
Authenticating as principal newbie/admin@EXAMPLE.COM with password.
Password for newbie/admin@EXAMPLE.COM:
kadmin:  getprivs
current privileges: GET ADD MODIFY DELETE
kadmin: 

使用 getprivs 指令,確認您擁有的權限。上列清單是全部的權限。

如範例所示修改 newbie 主體:

kadmin -p newbie/admin
Authenticating as principal newbie/admin@EXAMPLE.COM with password.
Password for newbie/admin@EXAMPLE.COM:

kadmin:  getprinc newbie
Principal: newbie@EXAMPLE.COM
Expiration date: [never]
Last password change: Wed Jan 12 17:28:46 CET 2005
Password expiration date: [none]
Maximum ticket life: 0 days 10:00:00
Maximum renewable life: 7 days 00:00:00
Last modified: Wed Jan 12 17:47:17 CET 2005 (admin/admin@EXAMPLE.COM)
Last successful authentication: [never]
Last failed authentication: [never]
Failed password attempts: 0
Number of keys: 2
Key: vno 1, Triple DES cbc mode with HMAC/sha1, no salt
Key: vno 1, DES cbc mode with CRC-32, no salt
Attributes:
Policy: [none]

kadmin:  modify_principal -maxlife "8 hours" newbie
Principal "newbie@EXAMPLE.COM" modified.
kadmin:  getprinc joe
Principal: newbie@EXAMPLE.COM
Expiration date: [never]
Last password change: Wed Jan 12 17:28:46 CET 2005
Password expiration date: [none]
Maximum ticket life: 0 days 08:00:00
Maximum renewable life: 7 days 00:00:00
Last modified: Wed Jan 12 17:59:49 CET 2005 (newbie/admin@EXAMPLE.COM)
Last successful authentication: [never]
Last failed authentication: [never]
Failed password attempts: 0
Number of keys: 2
Key: vno 1, Triple DES cbc mode with HMAC/sha1, no salt
Key: vno 1, DES cbc mode with CRC-32, no salt
Attributes:
Policy: [none]
kadmin:
   

這樣會將最大票證存在時間變更為八小時。如需關於 kadmin 指令與可用選項的詳細資訊,請參閱 http://web.mit.edu/kerberos/www/krb5-1.4/krb5-1.4/doc/krb5-admin.html#Kadmin%20Optionsman 8 kadmin