「KTH-KRB4 ユーザ登録をリモートから行う方法」 2002-10-11 改訂1 2002-01-18 初版 postgres ユーザを KDC へ登録するのに、リモートから kadmin プログラムを使って行います。kadmin を利用する には KDC サーバマシンにて kadmind が走っている必要が あります。また、ACL(アクセスコントロールリスト)に 操作可能なユーザプリンシパルを登録しておく必要が あります。 具体的には、 権限をあたえるプリンシパルのリスト(ACL)を Get/Add/Modify/Delete のそれぞれの権限ごとのファイルに書き込んでおきま す。 /var/kerberos/admin_acl.get /var/kerberos/admin_acl.add /var/kerberos/admin_acl.mod /var/kerberos/admin_acl.del 一般的に、権限をあたえるユーザプリンシパルにはインスタンスを付けてKDC に登録してあるものを使います。たとえば、ここではjuk.admin@FOO.COM.JP というプリンシパルに権限をあたえているとします。すると、ACLファイルの 例は次のようになります。 % cat /var/kerberos/admin_acl.add juk.admin@FOO.COM.JP ... こうしておいて、リモートでは juk.admin@FOO.COM.JP のチケットを 取得すれば KDC のデータベースに postgres ユーザプリンシパル postgres.@FOO.COM.JP を登録することが可能です。 kadmin プログラム の利用例を以下に示します。 (^M はエンターを表します。) # kadmin -p juk.admin -m^M kadmin: add postgres^M juk.admin@FOO.COM.JP's Password: xxxxxxx^M Maximum ticket lifetime? (162) [4+07:34:45] Attributes? [0x00] ^M Expiration date (enter yyyy-mm-dd) ? [2004-01-18] ^M Password for postgres:XXXXXXXX^M Verifying password - Password for postgres:XXXXXXXX^M postgres added to database. kadmin: q Origin -- Date: Fri, 18 Jan 2002 From: Jun Kuwamura Subject: Add postgres user principal to kdc.