是的,我的系统管理员团队正在致力于自动为我大学的新生创建用户帐户。目前的基本想法是让一个名为的主体adduser
能够向我们的 kerberos 服务器进行身份验证,并能够将新主体添加到数据库(在验证用户确实在学校注册后)。
我担心的是,没有什么能真正阻止这位校长增加新的行政的用户,这绝对不是我们想要的。理想情况下,我希望设置kadm5.acl这样adduser
主体就只能将非管理员添加到我们的数据库中。简而言之,我希望它能够这样做:,但如果它尝试这样做,则返回错误:。kadmin: addprinc [email protected]
kadmin: addprinc john/[email protected]
根据该target_principal
选项的文档,我假设我不能这样做:
# may add a principal that has no "/" in its name: adduser a [^/]* -clearpolicy
我确信我可以通过确保在将输入发送到服务器之前对其进行充分清理来实现同样的目的。但我想问一下,是否有人知道在 Kerberos 端设置此规则的更“正式”方法?