Назад | Перейти на главную страницу

kadmin не может перечислить принципалов «требует привилегий списка»

Я могу нормально пройти аутентификацию через kadmin, но не могу перечислить участников?

[root@server ~]# kadmin -p admin
Authenticating as principal admin with password.
Password for admin@org.domain.com: 
kadmin:  listprincs 
get_principals: Operation requires ``list'' privilege while retrieving list.
kadmin:  

есть идеи, как я могу это исправить?

Если вы хотите работать с принципалами в FreeIPA, используйте команду ipa.

  1. По умолчанию у всех пользователей есть ключи Kerberos, поэтому

    ipa user-find

    предоставит вам всех пользователей (используйте ipa user-find --help чтобы увидеть ограничивающие критерии)

  2. По умолчанию все узлы являются участниками Kerberos, поэтому

    ipa host-find

    предоставит вам всех участников host / fqdn @ REALM.

  3. Все службы являются принципалами Kerberos и принадлежат хостам, поэтому

    ipa service-find

    предоставит вам список всех услуг, и если в их записях есть Keytab: true это означает, что они являются принципалами Kerberos с определенной клавиатурой.

Использовать ipa service-mod если вам нужно изменить параметры услуги. Использовать ipa-getkeytab чтобы получить keytab для любого из участников.

Операции через kadmin / kadmin.local не поддерживаются в FreeIPA.

Если только ваш kdc.conf имеет acl_file запись, указывающая на другое место, вы должны создать / отредактировать /var/lib/krb5kdc/kadm5.acl, kadm5.acl(5). Однако это для простого MIT-krb5. У FreeIPA, наверное, есть для этого свои методы.