我可以通过 kadmin 进行身份验证,但是无法列出主体?
[root@server ~]# kadmin -p admin
Authenticating as principal admin with password.
Password for [email protected]:
kadmin: listprincs
get_principals: Operation requires ``list'' privilege while retrieving list.
kadmin:
知道如何修复这个问题吗?
答案1
如果您想在 FreeIPA 中对主体进行操作,请使用“ipa”命令。
所有用户默认都有 Kerberos 密钥,因此
ipa user-find
将为您提供所有用户(用于
ipa user-find --help
查看限制标准)默认情况下,所有主机都是 Kerberos 主体,因此
ipa host-find
将为您提供所有 host/fqdn@REALM 主体。
所有服务都是 Kerberos 主体,并且归主机所有,因此
ipa service-find
将为您提供所有服务的列表,如果其条目有,
Keytab: true
则意味着它们是具有定义密钥表的 Kerberos 主体。
ipa service-mod
如果您需要更改服务参数,请使用。用于ipa-getkeytab
检索任何主体的密钥表。
FreeIPA 不支持通过 kadmin/kadmin.local 进行操作。
答案2
除非您的kdc.conf
条目acl_file
指向不同的位置,否则您应该创建/编辑/var/lib/krb5kdc/kadm5.acl
, kadm5.acl(5)
。但是,这适用于普通的 MIT-krb5。FreeIPA 可能有自己的方法。