Если завести пользователя (newadmin) с админискими правами в ALD то при попытке провести проверку целостности домена с правами этого пользователя, возникает ошибка
ald-admin test-integrity --admin=newadmin
Вход от имени пользователя 'newadmin'...
Введите пароль администратора ALD 'newadmin': ********
Проверка конфигурации домена..................................ok
Проверка системных принципалов................................-- ОШИБКА:
Ошибка MIT Kerberos V5: Недостаточно прав доступа. Пользователь должен обладать привилегией администратора.
:> Operation requires ``get'' privilege
Связано это вот с чем. Списки контроля доступа в керберосе для пользователя хранятся в файле /etc/krb5kdc/kadm5.acl
вот в таком виде
admin/admin@DOMAIN *
newadmin@DOMAIN ADMCIl admin/admin@DOMAIN
newadmin@NEWADMIN admcil
Для вновь создаваемого админа включается запрет на доступ к принципалу admin/admin (строка newadmin@DOMAIN ADMCIl admin/admin@DOMAIN), а при проверке целостности домена как раз и идет запрос этого принципала.
Если добавить строчку newadmin@DOMAIN * и перезагрузить krb5-admin-server и krb5-kdc то проверка пройдет успешно. Но при следующем добавлении или изменении профиля админа (любого) эта добавленная строчка перезапишется. Файл /etc/krb5kdc/kadm5.acl обновляется доменными службами.
Можно ли как то это исправить? Например подредактировав файл шаблона /etc/ald/config-templates/kadm5.acl
ald-admin test-integrity --admin=newadmin
Вход от имени пользователя 'newadmin'...
Введите пароль администратора ALD 'newadmin': ********
Проверка конфигурации домена..................................ok
Проверка системных принципалов................................-- ОШИБКА:
Ошибка MIT Kerberos V5: Недостаточно прав доступа. Пользователь должен обладать привилегией администратора.
:> Operation requires ``get'' privilege
Связано это вот с чем. Списки контроля доступа в керберосе для пользователя хранятся в файле /etc/krb5kdc/kadm5.acl
вот в таком виде
admin/admin@DOMAIN *
newadmin@DOMAIN ADMCIl admin/admin@DOMAIN
newadmin@NEWADMIN admcil
Для вновь создаваемого админа включается запрет на доступ к принципалу admin/admin (строка newadmin@DOMAIN ADMCIl admin/admin@DOMAIN), а при проверке целостности домена как раз и идет запрос этого принципала.
Если добавить строчку newadmin@DOMAIN * и перезагрузить krb5-admin-server и krb5-kdc то проверка пройдет успешно. Но при следующем добавлении или изменении профиля админа (любого) эта добавленная строчка перезапишется. Файл /etc/krb5kdc/kadm5.acl обновляется доменными службами.
Можно ли как то это исправить? Например подредактировав файл шаблона /etc/ald/config-templates/kadm5.acl