Я могу нормально пройти аутентификацию через kadmin, но не могу перечислить участников?
[root@server ~]# kadmin -p admin
Authenticating as principal admin with password.
Password for admin@org.domain.com:
kadmin: listprincs
get_principals: Operation requires ``list'' privilege while retrieving list.
kadmin:
есть идеи, как я могу это исправить?
Если вы хотите работать с принципалами в FreeIPA, используйте команду ipa.
По умолчанию у всех пользователей есть ключи Kerberos, поэтому
ipa user-find
предоставит вам всех пользователей (используйте ipa user-find --help
чтобы увидеть ограничивающие критерии)
По умолчанию все узлы являются участниками Kerberos, поэтому
ipa host-find
предоставит вам всех участников host / fqdn @ REALM.
Все службы являются принципалами Kerberos и принадлежат хостам, поэтому
ipa service-find
предоставит вам список всех услуг, и если в их записях есть Keytab: true
это означает, что они являются принципалами Kerberos с определенной клавиатурой.
Использовать ipa service-mod
если вам нужно изменить параметры услуги. Использовать ipa-getkeytab
чтобы получить keytab для любого из участников.
Операции через kadmin / kadmin.local не поддерживаются в FreeIPA.
Если только ваш kdc.conf
имеет acl_file
запись, указывающая на другое место, вы должны создать / отредактировать /var/lib/krb5kdc/kadm5.acl
, kadm5.acl(5)
. Однако это для простого MIT-krb5. У FreeIPA, наверное, есть для этого свои методы.