Включение su
Kerberos позволяет назначить каждому пользователю, который нуждается в привилегиях root, свой собственный пароль su(1). Необходимо добавить учетную запись, которой разрешено получать root доступ через . Это делается путем связывания учетной записи root с пользовательской учетной записью. Создадим в базе данных Kerberos запись jane.root с помощью kdb_edit:
# kdb_edit
Opening database...
Enter Kerberos master key:
Current Kerberos master key version is 1.
Master key entered. BEWARE! Previous or default values are in [brackets] , enter return to leave the same, or new value.
Principal name: jane
Instance: root
<Not found>, Create [y] ? y
Principal: jane, Instance: root, kdc_key_ver: 1 New Password: <---- enter a SECURE password here Verifying password
New Password: <---- re-enter the password here
Principal's new key version = 1 Expiration date (enter yyyy-mm-dd) [ 2000-01-01 ] ?
Max ticket lifetime (*5 minutes) [ 255 ] ? 12 <--- Keep this short! Attributes [ 0 ] ?
Edit O.K. Principal name: <---- null entry here will cause an exit
Теперь проверим работоспособность этой записи:
# kinit jane.root
MIT Project Athena (grunt.example.com) Kerberos Initialization for "jane.root" Password:
Необходимо добавить пользователя к root файлу .klogin:
# cat /root/.klogin
jane.root@EXAMPLE.COM
Теперь попробуйте выполнить su(1):
% su
Password:
и посмотрите на имеющиеся данные:
# klist
Ticket file: /tmp/tkt_root_245 Principal: jane.root@EXAMPLE.COM
Issued Expires Principal May 2 20:43:12 May 3 04:43:12 krbtgt.EXAMPLE.COM@EXAMPLE.COM
