内容摘要:Kerberos可以解决你的账号管理方面的痛苦。在一个分布式的Uinux/Linux环境中,如果通过手工进行账号管理,将变得复杂、混乱。
祝贺你!你刚好完成你的第一次成功的Kerberos认证。现在你应该给这个管理账号指定权限了,它由文件/usr/local/var/krb5kdc/kadm5.acl中的条目决定。你可以给john/admin授予管理所有委托人的权限,通过添加下面这样一行到/usr/local/var/krb5kdc/kadm5.acl中,并使用通配符实现:
john/admin@EXAMPLE.COM *
在你能通过网络启动管理后台服务(kadmind)之前,你需要创建一个包含密钥的keytab文件:
kadmin.local: ktadd -k /usr/local/var/krb5kdc/
↪kadm5.keytab kadmin/changepw
现在为Kerberos管理后台服务的事情都准备好了,可以启动它了:
% sudo /usr/local/sbin/kadmind
这个后台服务允许你使用kadmin客户端工具远程管理你的Kerberos委托人,而不需要登陆到你的KDC,如果你想让你的Kerberos后台服务随系统启动而启动,将它们添加到你KDC中的/etc/rc文件中。
使用前面获取到的Kerberos TGT,启动远程管理工具:
% /usr/local/sbin/kadmin
Authenticating as principal john/admin@EXAMPLE.COM
with password.
Password for john/admin@EXAMPLE.COM:
添加新账号
新账号仍然需要添加到你的shadow文件或你的密码映射中,无论如何,不要将密码放入这些位置,你要创建一个新的Kerberos委托人并将它的密码存储在KDC中。
使用kadmin工具:
% /usr/local/sbin/kadmin
用下面的命令给常规用户添加一个委托人:
kadmin: addprinc john
NOTICE: no policy specified for john@EXAMPLE.COM; assigning "default"
Enter password for principal "john@EXAMPLE.COM":
Re-enter password for principal "john@EXAMPLE.COM":
Principal "john@EXAMPLE.COM" created.
来源:51CTO 作者:黄永兵 责编:豆豆技术应用