Правильно, моя команда системных администраторов работает над автоматизацией создания учетных записей пользователей для новых студентов в моем университете. Основная идея на данный момент - вызвать директора adduser который может аутентифицироваться на нашем сервере kerberos и может добавлять новых участников в базу данных (после проверки того, что пользователь действительно зарегистрирован в школе).
Меня беспокоит, что ничто не остановит этого принципала от добавления новых административный пользователей, что определенно не то, что нам нужно. В идеале я бы хотел настроить kadm5.acl таким образом adduser принципал может добавлять в нашу базу данных только пользователей, не являющихся администраторами. Короче говоря, я хочу, чтобы он мог это делать: kadmin: addprinc jane@EXAMPLE.COM, но вернет ошибку, если попытается это сделать: kadmin: addprinc john/admin@EXAMPLE.COM.
На основании документации для target_principal вариант, я предполагаю, что не могу этого сделать:
# may add a principal that has no "/" in its name:
adduser a [^/]* -clearpolicy
Я уверен, что смогу добиться того же, убедившись, что входные данные хорошо продезинфицированы, прежде чем они будут отправлены на сервер. Но я подумал, что спрошу, есть ли у кого-нибудь идея более «формального» способа установить это правило на стороне Kerberos?