2005-03-15T23:43:46 listening on IPv4:127.0.0.1 port 88/tcp

значит, сервер успешно стартовал и можно переходить к запуску сервера удаленного администрирования kadmind (749/tcp-порт) и службы смены паролей kpasswdd (464/udp-порт).

/usr/libexec/kadmind

/usr/libexec/kpasswdd

Хотя для смены паролей можно использовать программу kadmin (/usr/sbin/kadmin passwd mike), но для пользователей более удобно проделать то же самое с помощью утилиты kpasswd, которая подключается к службе kpasswdd.

Поскольку сервис kadmind нужен не очень часто (при добавлении/удалении принципалов), то имеет смысл использовать его вызов в сервере inetd (xinetd). Для этого вам, во-первых, нужно убедиться, что ссылки на сервисы, собранные с поддержкой Kerberos (и kadmind в том числе) присутствуют в файле /etc/services. Необходимые для этого данные содержатся в файле heimdal-0.6.3/etc/services.append в дистрибутиве heimdal. Во-вторых, нужно добавить запись, касающуюся сервера удаленного администрирования, в файл /etc/inetd.conf и перeзапустить inetd.

kerberos-adm stream tcp nowait root /usr/libexec/kadmind kadmind

В то же время kpasswdd может работать только как самостоятельная служба, и организовать его вызов с помощью inetd невозможно.

Контроль доступа к kadmind и управлению пользователями Kerberos обеспечивается списками, хранящимися в файле /var/heimdal/kadmin.acl. Разумная политика – предоставить администратору (admin/admin) полный контроль по управлению записями Kerberos, а всем остальным – позволить лишь менять свои пароли. Для такой цели достаточно иметь такой acl-файл:

admin/admin@MYREALM.RU    all

*@MYREALM.RU              cpw

Для проверки работоспособности сервера Kerberos попробуйте аутентифицироваться на нем (как администратор) и посмотреть содержимое его баз данных:

kinit -p admin/admin

kadmin

kadmin> list *