In der Dokumentation für RHEL wird erklärt, wie man Benutzer über die /var/kerberos/krb5kdc/kadm5.aclDatei zu Administratoren macht, es wird jedoch nicht angegeben, ob dies die einzige Möglichkeit ist. Gibt es andere Möglichkeiten, Principals mit Administratorberechtigungen in Kerberos anzugeben?
Antwort1
DerACL-Datei(standardmäßig kadm5.acl) ist nicht die einzige Möglichkeit, Kerberos-Administratoren anzugeben. Dies kann auch überkadm5_auth-Schnittstelle:
Die ACL-Datei kann mit anderen Autorisierungsmodulen ab Version 1.16 koexistieren, wie in derkadm5_auth-SchnittstelleAbschnitt von krb5.conf. Die ACL-Datei autorisiert Vorgänge gemäß den oben genannten Regeln ausdrücklich, verweigert jedoch niemals eine Operation autoritativ, sodass andere Module zusätzlich zu den von der ACL-Datei autorisierten Vorgängen weitere Vorgänge autorisieren können.
Quelle:MIT Kerberos-Dokumentation