Лекция: Включение su

Kerberos позволяет назначить каждому пользователю, который нуждается в привилегиях root, свой собственный пароль su(1). Необходимо добавить учётную запись, которой разрешено получать root доступ через su(1). Это делается путем связывания учётной записи root с пользовательской учётной записью. Создадим в базе данных Kerberos запись jane.root с помощью kdb_edit:

# kdb_edit

Opening database...

Enter Kerberos master key:

Current Kerberos master key version is 1.

Master key entered. BEWARE!

Previous or default values are in [brackets] ,

enter return to leave the same, or new value.

Principal name: jane

Instance: root

<Not found>, Create [y]? y

Principal: jane, Instance: root, kdc_key_ver: 1

New Password: <---- enter a SECURE password here

Verifying password

New Password: <---- re-enter the password here

Principal's new key version = 1

Expiration date (enter yyyy-mm-dd) [ 2000-01-01 ] ?

Max ticket lifetime (*5 minutes) [ 255 ]? 12 < — Keep this short!

Attributes [ 0 ] ?

Edit O.K.

Principal name: <---- null entry here will cause an exit

Теперь проверим работоспособность этой записи:

# kinit jane.root

MIT Project Athena (grunt.example.com)

Kerberos Initialization for «jane.root»

Password:

Необходимо добавить пользователя к root файлу .klogin:

# cat /root/.klogin

jane.root@EXAMPLE.COM

Теперь попробуйте выполнить su(1):

% su

Password:

и посмотрите на имеющиеся данные:

# klist

Ticket file: /tmp/tkt_root_245

Principal: jane.root@EXAMPLE.COM

Issued Expires Principal

May 2 20:43:12 May 3 04:43:12 krbtgt.EXAMPLE.COM@EXAMPLE.COM