changepw/kerberos@OFFICE.LOCALNET

  kadmin/hprop@OFFICE.LOCALNET

  default@OFFICE.LOCALNET

  sysadmin/admin@OFFICE.LOCALNET

kadmin> exit

Как показала эта проверка, kdc перечитывает правила доступа к базе при каждом обращении, то есть нет необходимости перезагружать демон.

И теперь проделаем все то же самое, но с удаленного компьютера, предварительно переложив туда файл настроек krb5.conf, который одновременно является и файлом настроек клиента Kerberos.

Получим билет для принципала sysadmin/admin на рабочей станции:

alekseybb@wsalekseybb:~> kinit sysadmin/admin

sysadmin/admin@OFFICE.LOCALNET's Password:

kinit: NOTICE: ticket renewable lifetime is 1 week

alekseybb@wsalekseybb:~> klist

Credentials cache: FILE:/tmp/krb5cc_500

        Principal: sysadmin/admin@OFFICE.LOCALNET

  Issued           Expires          Principal

Jun 11 02:14:33  Jun 11 12:15:57  krbtgt/OFFICE.LOCALNET@OFFICE.LOCALNET

Здесь видно, что в кеше Kerberos для локального клиента alekseybb лежит билет от krbtgt/OFFICE.LOCALNET, выписанный на принципала – администратора sysadmin/admin@OFFICE.localnet. Такой билет называется супербилет (в оригинале – Ticket Granting Ticket), поскольку он дает право на получение билетов на доступ ко всем другим принципалам, расположенным в той же области Kerberos. В нашем случае это список, полученный по команде «list *». Проверим доступ к базе на правах администратора.

alekseybb@wsalekseybb:~> /usr/sbin/kadmin

kadmin> list *

  krbtgt/OFFICE.LOCALNET@OFFICE.LOCALNET

  kadmin/changepw@OFFICE.LOCALNET

  kadmin/admin@OFFICE.LOCALNET

  changepw/kerberos@OFFICE.LOCALNET

  kadmin/hprop@OFFICE.LOCALNET

  default@OFFICE.LOCALNET

  sysadmin/admin@OFFICE.LOCALNET

kadmin> exit