kadmin 无法列出主体“需要列表权限”

kadmin 无法列出主体“需要列表权限”

我可以通过 kadmin 进行身份验证,但是无法列出主体?

[root@server ~]# kadmin -p admin
Authenticating as principal admin with password.
Password for [email protected]: 
kadmin:  listprincs 
get_principals: Operation requires ``list'' privilege while retrieving list.
kadmin:  

知道如何修复这个问题吗?

答案1

如果您想在 FreeIPA 中对主体进行操作,请使用“ipa”命令。

  1. 所有用户默认都有 Kerberos 密钥,因此

    ipa user-find

    将为您提供所有用户(用于ipa user-find --help查看限制标准)

  2. 默认情况下,所有主机都是 Kerberos 主体,因此

    ipa host-find

    将为您提供所有 host/fqdn@REALM 主体。

  3. 所有服务都是 Kerberos 主体,并且归主机所有,因此

    ipa service-find

    将为您提供所有服务的列表,如果其条目有,Keytab: true则意味着它们是具有定义密钥表的 Kerberos 主体。

ipa service-mod如果您需要更改服务参数,请使用。用于ipa-getkeytab检索任何主体的密钥表。

FreeIPA 不支持通过 kadmin/kadmin.local 进行操作。

答案2

除非您的kdc.conf条目acl_file指向不同的位置,否则您应该创建/编辑/var/lib/krb5kdc/kadm5.acl, kadm5.acl(5)。但是,这适用于普通的 MIT-krb5。FreeIPA 可能有自己的方法。

相关内容