我的系统pipe理员团队正在为我的大学新生自动创build用户帐户。 现在的基本思想是有一个叫做adduser的委托人,可以向我们的Kerberos服务器进行身份validation,并且有能力在数据库中添加新的委托人(在validation用户实际上在学校注册之后)。
我担心的是没有什么能够真正阻止这个委托人添加新的pipe理用户,这绝对不是我们想要的。 理想情况下,我想要设置kadm5.acl,以便adduser主体只能将非pipe理员添加到我们的数据库。 总之,我希望它能够做到这一点: kadmin: addprinc [email protected] ,但如果它尝试这样做,返回一个错误: kadmin: addprinc john/[email protected] 。
基于target_principal选项的文档,我假设我不能这样做:
# may add a principal that has no "/" in its name: adduser a [^/]* -clearpolicy
我相信我可以通过确保input在发送到服务器之前已经过很好的消毒来达到同样的效果。 但我想我会问,如果有人有一个更“正式”的方式,我可以设置Kerberos的这个规则的目的?