RHEL 的文档解释了如何通过/var/kerberos/krb5kdc/kadm5.acl文件使用户成为管理员,但没有说明这是否是唯一的方法。还有其他方法可以在 kerberos 中指定具有管理权限的主体吗?
答案1
这acl_文件(默认情况下为 kadm5.acl)不是指定 Kerberos 管理员的唯一方法。还可以通过以下方式实现kadm5_auth 接口:
ACL 文件可以与版本 1.16 及更高版本中的其他授权模块共存,如kadm5_auth 接口krb5.conf 部分。ACL 文件将根据上述规则积极授权操作,但绝不会权威地拒绝操作,因此其他模块可以授权除 ACL 文件授权的操作之外的操作。