заменить символом '*'. Например, имя */admin@THREEROOMCO.СОМ соответствует любой основе для экземпляра admin и области THREEROOMCO.СОМ. Подобное определение позволяет предоставить доступ к KDC всем администраторам.
Второе поле (Полномочия) — это код ACL, соответствующего принципалу. Типы полномочий задаются с помощью односимвольных кодов. Назначение символов описано в табл. 6.1. Объединяя разные коды, можно задать различные типы доступа. Например, код ali означает, что принципал может добавлять пользователей, выводить списки принципалов и передавать запросы базе данных.
Таблица 6.1. Коды полномочий в файле ACL
| Код | Описание |
|---|---|
а | Позволяет добавлять принципалов или политики |
А | Запрещает добавлять принципалов или политики |
d | Позволяет удалять принципалов или политики |
D | Запрещает удалять принципалов или политики |
m | Позволяет модифицировать принципалов или политики |
M | Запрещает модифицировать принципалов или политики |
с | Позволяет изменять пароли принципалов |
С | Запрещает изменять пароли принципалов |
i | Позволяет передавать запросы базе данных |
I | Запрещает передавать запросы базе данных |
1 | Позволяет выводить списки принципалов или политик из базы данных |
L | Запрещает выводить списки принципалов или политик из базы данных |
x или * | Признак групповой операции |
Последнее поле (Целевой принципал) может отсутствовать. Оно определяет имена принципалов, к которыми применяются заданные полномочия. Например, вы можете ограничить возможности пользователя по доступу и модификации прав конкретных принципалов. Как и при определении принципала Kerberos, в идентификаторе целевого принципала можно использовать символ '*'.
Рассмотрим в качестве примера следующую запись:
Эта запись предоставляет всем принципалам экземпляра admin полный доступ к базе данных Kerberos. Подобная запись включается в файл по умолчанию. Первое, что надо сделать, — модифицировать запись так, чтобы она соответствовала нужной вам области.
Для администрирования базы пользователей Kerberos применяются программы kadmin и kadmin.local. Программа kadmin позволяет администрировать KDC с удаленного компьютера; она организует обмен шифрованными сообщениями. Программа kadmin.local дает возможность модифицировать базу данных без применения сетевых средств. Вначале необходимо с помощью kadmin.local создать хотя бы одного пользователя, обладающего правами администратора, затем можно использовать kadmin для работы с удаленного узла. Очевидно, что удаленное администрирование можно осуществлять только в том случае, если на узле присутствуют специализированные серверы Kerberos, предназначенные для выполнения подобных задач.
При запуске программ kadmin и kadmin.local можно задавать различные параметры, определяющие имя принципала, область, администрирование которой будет выполняться, и т.д. Подробную информацию о поддерживаемых параметрах можно получить, обратившись к соответствующим разделам справочной информации. После запуска программы надо ввести команды и данные, которые она запрашивает. Например, чтобы добавить принципала admin/[email protected] необходимо задать команду addprinc.
# kadmin.local
Authenticating as principal root/[email protected] with
password.
