跳过导航链接 | |
退出打印视图 | |
系统管理指南:安全性服务 Oracle Solaris 10 8/11 Information Library (简体中文) |
SEAM Tool (gkadmin) 是一个交互式图形用户界面 (graphical user interface, GUI),用于维护 Kerberos 主体和策略。此工具提供的功能与 kadmin 命令基本相同。但是,此工具不支持密钥表文件管理。必须使用 kadmin 命令来管理密钥表文件,如管理密钥表文件中所述。
与 kadmin 命令类似,SEAM Tool 使用 Kerberos 验证和加密 RPC 从网络中的任何位置安全操作。使用 SEAM Tool 可以执行以下操作:
创建基于缺省值或现有主体的新主体。
创建基于现有策略的新策略。
为主体添加注释。
设置缺省值以创建新主体。
在不退出工具的情况下以其他主体身份登录。
打印或保存主体列表和策略列表。
查看和搜索主体列表和策略列表。
SEAM Tool 还会提供上下文有关帮助和一般联机帮助。
以下任务列表提供了指向可借助 SEAM Tool 完成的各种任务的链接:
此外,还可转至SEAM Tool 面板说明,了解可在 SEAM Tool 中指定或查看的所有主体属性和策略属性的说明。
本节列出了一些 kadmin 命令,这些命令提供的功能与 SEAM Tool 相同。无需运行 X 窗口系统,便可使用这些命令。尽管本章中的大多数过程使用 SEAM Tool,但其中许多过程还提供了使用等效命令行的对应示例。
表 25-1 SEAM Tool 的等效命令行
|
SEAM Tool 修改的唯一文件是 $HOME/.gkadmin 文件。该文件包含用于创建新主体的缺省值。通过从 "Edit"(编辑)菜单中选择 "Properties"(属性),可以更新该文件。
SEAM Tool 提供了打印功能和联机帮助功能。通过 "Print"(打印)菜单,可将以下各项发送至打印机或文件:
通过 "Help"(帮助)菜单,可以访问上下文相关帮助和一般帮助。从 "Help"(帮助)菜单中选择 "Context-Sensitive Help"(上下文相关帮助)时,将显示 "Context-Sensitive Help"(上下文相关帮助)窗口,并且工具会切换为帮助模式。在帮助模式下,如果单击该窗口中的任何字段、标签或按钮,将在 "Help"(帮助)窗口中显示有关该项的帮助。要切换回工具的正常模式,请在 "Help"(帮助)窗口中单击 "Dismiss"(解除)。
此外,还可选择 "Help Contents"(帮助内容),这将打开一个 HTML 浏览器,其中会提供指向本章中介绍的一般概述和任务信息的链接。
随着站点开始积累大量主体和策略,使用 SEAM Tool 装入并显示主体和策略列表所需的时间将会越来越长。因此,使用该工具时的工作效率会下降。解决此问题有多种办法。
首先,通过使 SEAM Tool 不装入列表,可以完全省去装入列表的时间。可以设置此选项,方法是从 "Edit"(编辑)菜单中选择 "Properties"(属性),然后取消选中 "Show Lists"(显示列表)字段。当然,如果该工具不装入列表,则不能显示这些列表,因此将无法再使用列表面板来选择主体或策略。相应的做法是,必须在提供的新 "Name"(名称)字段中键入主体或策略名称,然后选择要对其执行的操作。实际上,键入名称与从列表中选择项的结果相同。
处理大型列表的另一种方法是对其进行高速缓存。事实上,已将 SEAM Tool 的缺省行为设置为将列表高速缓存一段时间。最初 SEAM Tool 还是必须将这些列表装入高速缓存。但在此后,该工具就可以使用高速缓存,而不必再次获取列表。这样便无需不断从服务器装入列表(正是此操作占用了大量时间)。
通过从 "Edit"(编辑)菜单中选择 "Properties"(属性),可以设置列表高速缓存。有两种高速缓存设置。可以选择将列表永久高速缓存;也可以指定该工具必须将列表从服务器重新装入高速缓存的时间限制。
对列表进行高速缓存时,仍然可以使用列表面板来选择主体和策略,因此该方法不会像第一种方法那样影响 SEAM Tool 的使用方式。另外,尽管使用高速缓存使您无法查看其他用户所做的更改,但您仍可以根据自己所做的更改查看最新列表信息,因为您所做的更改会对服务器和高速缓存中的列表进行更新。而且,如果要更新高速缓存以查看其他更改并获取最新列表副本,可在需要从服务器刷新高速缓存时使用 "Refresh"(刷新)菜单。
$ /usr/sbin/gkadmin
此时会显示 "SEAM Administration Login"(SEAM 管理登录)窗口。
该窗口会自动使用缺省值填充。缺省主体名称 (username/admin) 是通过从 USER 环境变量获取当前身份并在其后附加 /admin 确定的。缺省的 "Realm"(领域)和 "Master KDC"(主 KDC)字段选自 /etc/krb5/krb5.conf 文件。如果要恢复这些缺省值,请单击 "Start Over"(重新开始)。
注 - 每个主体名称可以执行的管理操作在 Kerberos ACL 文件 /etc/krb5/kadm5.acl 中指定。有关受限特权的信息,请参见以受限 Kerberos 管理特权使用 SEAM Tool。
此时会显示包含所有主体的窗口。