Référence de l'outil SEAM
Cette section fournit les descriptions de chaque panneau de l'outil SEAM. En
outre, des d'informations sur l'utilisation de privilèges limités avec l'outil SEAM sont
fournies.
Descriptions des panneaux de l'outil SEAM
Cette section fournit des descriptions pour chaque attribut de principal et de
stratégie que vous pouvez spécifier ou afficher dans outil SEAM. Les attributs
sont organisés par le panneau dans lequel ils sont affichés.
Tableau 23-2 Attributs pour le panneau Principal Basics (Informations de base du principal) de l'outil SEAM
|
|
Principal Name (Nom
du principal) |
Nom du principal (qui est la partie primary/ instance d'un nom complet
de principal). Un principal est une identité unique à laquelle le KDC
peut affecter les tickets. Si vous modifiez un principal, vous ne pouvez pas
modifier son nom. |
Password (Mot de passe) |
Mot de passe du principal. Vous pouvez
utiliser le bouton Generate Random Password (Générer un mot de passe aléatoire)
pour créer un mot de passe aléatoire pour le principal. |
Policy (Stratégie) |
Menu des
stratégies disponibles pour le principal. |
Account Expires (Expiration du compte) |
Date et heure d'expiration
du compte principal. Lorsque le compte expire, le principal ne peut plus
obtenir un ticket d'octroi de tickets (TGT) et peut être incapable de
se connecter. |
Last Principal Change (Dernière modification de principal) |
Date à laquelle les
informations du principal ont été modifiées pour la dernière fois. (Lecture seule) |
Last
Changed By (Dernière modification par) |
Nom du principal qui a modifié en dernier
le compte de ce principal. (Lecture seule) |
Comments (Commentaires) |
Commentaires liés au principal (par
exemple, "compte temporaire"). |
|
Tableau 23-3 Attributs pour le panneau Principal Details (Détails du principal) de l'outil SEAM
|
|
Last Success (Dernier succès) |
Date et heure de la dernière connexion
réussie du principal. (Lecture seule) |
Last Failure (Dernier échec) |
Date et heure du dernier
échec de connexion du principal. (Lecture seule) |
Failure Count (Nombre d'échecs) |
Nombre de fois
où une erreur de connexion s'est produite pour le principal. (Lecture seule) |
Last
Password Change (Dernière modification du mot de passe) |
Date et heure auxquelles le
mot de passe du principal a été modifié pour la dernière fois.
(Lecture seule) |
Password Expires (Date d'expiration du mot de passe) |
Date et heure auxquelles
le mot de passe actuel du principal expire. |
Key Version (Version de la
clé) |
Numéro de version de la clé pour le principal. Cet attribut n'est
généralement modifié que quand le mot de passe est compromis. |
Maximum Lifetime (seconds)
(Durée de vie maximale (en secondes)) |
Durée maximale pour laquelle un ticket peut
être accordé au principal (sans renouvellement). |
Maximum Renewal (seconds) (Renouvellement maximal (en secondes)) |
Durée
maximale pendant laquelle un ticket peut être renouvelé pour le principal. |
|
Tableau 23-4 Attributs du panneau Principal Flags (Indicateurs de principal) de l'outil SEAM
|
|
Disable Account (Désactiver un compte) |
Lorsqu'elle est sélectionnée, cette option empêche le principal
de se connecter. Cet attribut fournit un moyen facile de figer temporairement
un compte principal. |
Require Password Change (Exiger la modification du mot de passe) |
Lorsque
cette option est sélectionnée, l'option fait expirer le mot de passe en
cours du principal, ce qui oblige l'utilisateur à utiliser la commande kpasswd
pour créer un nouveau mot de passe. Cet attribut est utile si
une violation de la sécurité se produit et que vous devez vous
assurer que les anciens mots de passe sont remplacés. |
Allow Postdated Tickets (Autoriser
les tickets postdatés) |
Lorsqu'elle est sélectionnée, cette option permet au principal d'obtenir des
tickets postdatés. Par exemple, vous pouvez avoir besoin d'utiliser des tickets postdatés
pour les tâches de cron qui doivent s'exécuter après les heures de
bureau, mais vous ne pouvez pas obtenir de tickets en avance en
raison de courtes durées de vie de tickets. |
Allow Forwardable Tickets (Autoriser les
tickets transmissibles) |
Lorsqu'elle est sélectionnée, cette option permet au principal d'obtenir des tickets
transmissibles. Les tickets transmissibles sont des tickets qui sont transmis à l'hôte distant
pour fournir une session à connexion unique. Par exemple, si vous utilisez
des tickets transmissibles et que vous vous authentifiez via ftp ou rsh,
d'autres services, tels que les services NFS, sont disponibles sans que vous
ne soyez invité à saisir un autre mot de passe. |
Allow Renewable Tickets
(Autoriser les tickets renouvelables) |
Lorsqu'elle est sélectionnée, cette option permet au principal d'obtenir
des tickets renouvelables. Un principal peut étendre automatiquement la date d'expiration ou le
temps qu'un ticket peut être renouvelable (plutôt que d'avoir à obtenir un
nouveau ticket une fois que le premier ticket arrive à expiration). Actuellement,
le service NFS est le service de ticket qui peut renouveler les
tickets. |
Allow Proxiable Tickets (Autoriser les tickets utilisables avec proxy) |
Lorsqu'elle est sélectionnée, cette
option permet au principal d'obtenir des tickets utilisables avec proxy. Un ticket utilisable
avec proxy est un ticket qui peut être utilisé par un service
pour le compte d'un client afin d'effectuer une opération pour ce dernier.
Avec un ticket utilisable avec proxy, un service peut prendre l'identité d'un
client et obtenir un ticket pour un autre service. Toutefois, le service
ne peut pas obtenir de ticket d'octroi de tickets (TGT). |
Allow Service Tickets
(Autoriser les tickets de service) |
Lorsqu'elle est sélectionnée, cette option permet aux tickets
de service d'être émis pour le principal. Vous ne devez pas autoriser les
tickets de service à être émis pour les principaux kadmin/hostname et changepw/hostname.
Cette pratique permet de s'assurer que seuls ces principaux peuvent mettre à
jour la base de données KDC. |
Allow TGT-Based Authentication (Autoriser l'authentification par TGT) |
Lorsque
cette option est sélectionnée, le principal de service est autorisé à fournir
des services à un autre principal. Plus précisément, cet attribut autorise le
KDC à émettre un ticket de service pour le service principal. Cet attribut
est uniquement valable pour les principaux de service. Lorsque ce bouton n'est
pas coché, les tickets de service ne peuvent pas être émis pour
le principal de service. |
Allow Duplicate Authentication (Autoriser la duplication d'authentification) |
Lorsqu'elle est sélectionnée,
cette option autorise le principal d'utilisateur à obtenir des tickets de service
pour d'autres principaux d'utilisateur. Cet attribut est uniquement valide pour les principaux d'utilisateur.
Si cette option n'est pas sélectionnée, le principal d'utilisateur peut toujours obtenir
des tickets de service pour les principaux de service, mais pas pour
d'autres principaux d'utilisateur. |
Required Preauthentication (Pré-authentification requise) |
Lorsque cette option est sélectionnée, le KDC
n'envoie pas le ticket d'octroi de tickets (TGT) demandé au principal jusqu'à
ce que le KDC puisse authentifier (par le biais d'un logiciel) que
le principal est bien celui qui demande le ticket. Cette pré-authentification est
généralement effectuée par le biais d'un mot de passe supplémentaire, par exemple,
à partir d'une carte DES. Si elle n'est pas sélectionnée, le KDC n'a
pas besoin de pré-authentifier le principal avant que le KDC lui envoie
un TGT demandé. |
Required Hardware Authentication (Authentification matérielle requise) |
Lorsque cette option est sélectionnée,
le KDC n'envoie pas le ticket d'octroi de tickets (TGT) demandé au
principal jusqu'à ce que le KDC puisse authentifier (par le biais d'un
matériel) que le principal est bien celui qui demande le ticket. La
pré-authentification matérielle peut se produire, par exemple, sur un lecteur d'anneau Java. Si
elle n'est pas sélectionnée, le KDC n'a pas besoin de pré-authentifier le
principal avant que le KDC lui envoie un TGT demandé. |
|
Tableau 23-5 Attributs pour le panneau Policy Basics de l'outil SEAM
|
|
Policy Name (Nom
de la stratégie) |
Nom de la stratégie. Une stratégie est un ensemble de
règles qui régissent le mot de passe et les tickets d'un principal. Si
vous modifiez une stratégie, vous ne pouvez pas modifier son nom. |
Minimum Password
Length (Longueur minimale de mot de passe) |
Longueur minimale du mot de passe
du principal. |
Minimum Password Classes (Nombre minimal de classes de mot de passe) |
Nombre
minimal de types de caractères différents qui sont requis dans le mot
de passe du principal. Par exemple, une valeur de classes minimales de 2
signifie que le mot de passe doit comporter au moins deux types
de caractères différents, tels que des lettres et des chiffres (hi2mom). Une
valeur de 3 signifie que le mot de passe doit comporter au
moins trois types de caractères différents, comme des lettres, des chiffres et
des signes de ponctuation (hi2mom!). Et ainsi de suite... Une valeur de
1 définit signifie l'absence de restriction sur le nombre de types de
caractères de mot de passe. |
Saved Password History (Historique de mots de passe
enregistrés) |
Nombre de mots de passe précédents qui ont été utilisés par le
principal et liste des mots de passe précédents ne pouvant plus être
utilisés. |
Minimum Password Lifetime (seconds) (Durée de vie minimale du mot de passe
(en secondes)) |
Période minimale pendant laquelle le mot de passe doit être utilisé
avant de pouvoir être changé. |
Maximum Password Lifetime (seconds) (Durée de vie maximale
du mot de passe (en secondes)) |
Période maximale pendant laquelle le mot de
passe peut être utilisé avant de devoir être changé. |
Principals Using This Policy
(Principaux utilisant cette stratégie) |
Nombre de principaux auquel cette stratégie s'applique actuellement. (Lecture
seule) |
|
Utilisation de l'outil SEAM avec privilèges d'administration Kerberos limités
Toutes les capacités de SEAM Tool sont disponibles si votre principal admin
dispose de tous les privilèges d'administration de la base de données Kerberos.
Cependant, il se peut que vous ayez des privilèges limités, tels qu'être
seulement autorisé à consulter la liste des principaux ou à modifier le
mot de passe d'un principal. Avec des privilèges d'administration Kerberos limités, vous
pouvez toujours utiliser l'outil SEAM. Cependant, diverses parties de l'outil SEAM changent
en fonction des privilèges d'administration Kerberos dont vous ne disposez pas. Le
Tableau 23-6 montre comment l'outil SEAM change en fonction de vos privilèges d'administration
Kerberos.
Le changement le plus visible de l'outil SEAM se produit lorsque vous
ne disposez pas du privilège de liste. Sans le privilège de liste,
les panneaux de listes n'affichent pas la liste des principaux et les
stratégies à manipuler. Au lieu de cela, vous devez utiliser le champ
de nom dans les panneaux de listes pour spécifier un principal ou
une stratégie que vous voulez manipuler.
Si vous vous connectez à l'outil SEAM et que vous ne disposez
pas de privilèges suffisants pour effectuer des tâches avec lui, le message
suivant s'affiche et vous êtes renvoyé à la fenêtre de connexion d'administration
SEAM :
Insufficient privileges to use gkadmin: ADMCIL. Please try using another principal.
Pour modifier les privilèges d'un principal afin qu'il puisse administrer la base
de données Kerberos, reportez-vous à la section Procédure de modification des privilèges d'administration Kerberos.
Tableau 23-6 Utilisation de l'outil SEAM avec des privilèges d'administration Kerberos limités
|
|
a (ajouter) |
Les boutons Create New (Créer) et Duplicate (Dupliquer) ne sont pas
disponibles dans les panneaux Principal List (Liste de principaux) et Policy List
(Liste de stratégies). Sans le privilège d'ajout, vous ne pouvez pas créer
de principaux ou de stratégies, ni les dupliquer. |
d (supprimer) |
Le bouton Delete (Supprimer)
n'est pas disponible dans les panneaux Principal List et Policy List. Sans
le privilège de suppression, vous ne pouvez pas supprimer de principaux ou
de stratégies. |
m (modifier) |
Le bouton Modify (Modifier) n'est pas disponible dans les panneaux
Principal List et Policy List. Sans le privilège de modification, vous ne
pouvez pas modifier de principaux ou de stratégies. En outre, avec le
bouton Modify non disponible, vous ne pouvez pas modifier le mot de
passe d'un principal, même si vous avez le privilège de modification de
mot de passe. |
c (modifier un mot de passe) |
Le champ Password (Mot de
passe) du panneau Principal Basics (Informations de base du principal) est en
lecture seule et ne peut pas être modifié. Sans le privilège de
changement de mot de passe, vous ne pouvez pas modifier le mot
de passe d'un principal. Notez que même si vous avez le privilège
changement de mot de passe, vous devez également avoir le privilège de
modification pour modifier le mot de passe d'un principal. |
i (consultation de base
de données) |
Les boutons Modify et Duplicate ne sont pas disponibles dans les
panneaux Principal List et Policy List. Sans le privilège de consultation, vous
ne pouvez pas modifier ou dupliquer de principaux ou de stratégies. En
outre, avec le bouton Modify non disponible, vous ne pouvez pas modifier
le mot de passe d'un principal, même si vous avez le privilège
de modification de mot de passe. |
l (liste) |
La liste des principaux et des
stratégies dans les panneaux de liste est indisponible. Au lieu de cela,
vous devez utiliser le champ de nom dans les panneaux de listes
pour spécifier un principal ou une stratégie que vous voulez manipuler. |
|