Certo, minha equipe de sysadmin está trabalhando na automação da criação de contas de usuário para os novos alunos da minha universidade. A idéia básica agora é ter uma entidade chamada adduser que possa se autenticar em nosso servidor kerberos e tenha a capacidade de adicionar novos princípios ao banco de dados (depois de verificar se o usuário está realmente matriculado na escola).
Minha preocupação é que nada impeça esse diretor de adicionar novos usuários administrativos , o que definitivamente não é o que queremos. Idealmente, eu gostaria de configurar o kadm5.acl para que o adduser principal só é capaz de adicionar não-administradores ao nosso banco de dados. Em suma, eu quero que seja capaz de fazer isso: kadmin: addprinc [email protected] , mas retorne um erro se ele tentar fazer isso: kadmin: addprinc john/[email protected] .
Com base na documentação da opção target_principal , presumo que não posso fazer isso:
# may add a principal that has no "/" in its name:
adduser a [^/]* -clearpolicy
Tenho certeza de que posso conseguir a mesma coisa certificando-se de que a entrada esteja bem higienizada antes que seja enviada para o servidor. Mas eu pensei em perguntar se alguém tem uma ideia de uma maneira mais "formal" que eu possa definir essa regra no final do kerberos?