SEAM 도구 참조
이 절에서는 SEAM 도구의 각 패널에 대해 설명합니다. 또한 제한된 권한으로 SEAM
도구를 사용하는 방법도 설명합니다.
SEAM 도구 패널 설명
이 절에서는 SEAM 도구에서 지정하거나 볼 수 있는 각 주체와 정책 속성에
대해 설명합니다. 속성은 해당 속성이 표시된 패널로 구성됩니다.
표 23-2 SEAM 도구의 Principal Basics(주체 기본 사항) 패널 속성
|
|
|---|
주체 이름 |
주체 이름입니다. 즉, 정규화된
주체 이름의 primary/ instance 부분입니다. 주체는 KDC가 티켓을 지정할 수 있는 고유 ID입니다. 주체를
수정하는 경우 주체 이름은 편집할 수 없습니다. |
Password |
주체에 대한 암호입니다. Generate Random Password(모든
암호 생성) 버튼을 사용하여 주체에 대한 모든 암호를 만들 수 있습니다. |
Policy |
주체에 사용
가능한 정책에 대한 메뉴입니다. |
Account Expires |
주체의 계정이 만료되는 날짜 및 시간입니다. 계정이 만료되면
주체는 더 이상 TGT(티켓 부여 티켓)를 가져오고 로그인할 수 없습니다. |
Last Principal Change
|
주체에 대한 정보를 마지막으로 수정한 날짜입니다 (읽기 전용). |
Last Changed By |
이 주체의 계정을
마지막으로 수정한 주체의 이름입니다 (읽기 전용). |
설명 |
주체와 관련된 설명입니다(예: “임시 계정”). |
|
표 23-3 SEAM 도구의 Principal Details(주체 세부 정보) 패널 속성
|
|
|---|
Last Success |
주체가 마지막으로
로그인에 성공한 날짜 및 시간입니다 (읽기 전용). |
Last Failure |
주체가 마지막으로 로그인에 실패한 날짜
및 시간입니다 (읽기 전용). |
Failure Count |
주체에 대한 로그인 실패가 발생한 횟수입니다 (읽기 전용). |
Last
Password Change |
주체의 암호가 마지막으로 변경된 날짜 및 시간입니다 (읽기 전용). |
Password Expires |
주체의 현재
암호가 만료되는 날짜 및 시간입니다. |
Key Version |
주체에 대한 키 버전 번호입니다. 이 속성은
일반적으로 암호가 손상된 경우에만 변경됩니다. |
Maximum Lifetime (seconds) |
주체에 대해 티켓을 부여할 수 있는
최대 기간입니다(갱신 없음). |
Maximum Renewal (seconds) |
주체에 대해 기존 티켓을 갱신할 수 있는 최대
기간입니다. |
|
표 23-4 SEAM 도구의 Principal Flags(주체 플래그) 패널 속성
|
|
|---|
Disable Account |
선택할 경우 주체가 로그인할 수 없습니다. 이 속성을 사용하여 주체
계정을 일시적으로 고정할 수 있습니다. |
Require Password Change |
선택할 경우 주체의 현재 암호가 만료되므로,
사용자가 kpasswd 명령을 사용하여 새 암호를 만들어야 합니다. 이 속성은 보안 유출이
발생하여 이전 암호를 바꿔야 하는 경우에 유용합니다. |
Allow Postdated Tickets |
선택할 경우 주체가 후일자
티켓을 얻을 수 있습니다. 예를 들면 몇 시간 후에 실행해야 하는 cron
작업에 대해 후일자 티켓을 사용해야 하지만, 티켓 수명이 짧은 관계로 미리 티켓을
얻을 수 없는 경우입니다. |
Allow Forwardable Tickets |
선택할 경우 주체가 전달 가능 티켓을 얻을
수 있습니다. 전달 가능 티켓은 단일 사인 온(SSO) 세션을 제공하기 위해 원격 호스트로
전송되는 티켓입니다. 예를 들어 전달 가능 티켓을 사용하면서 ftp 또는 rsh를 통해
자신을 인증할 경우, 암호를 다시 입력하지 않고 NFS 서비스와 같은 다른 서비스를
사용할 수 있습니다. |
Allow Renewable Tickets |
선택할 경우 주체가 갱신 가능 티켓을 얻을 수
있습니다. 주체는 (첫번째 티켓이 만료된 후 새 티켓을 가져올 필요 없이) 갱신 가능한
티켓의 만료 날짜나 시간을 자동으로 확장할 수 있습니다. 현재는 NFS 서비스가 티켓을
갱신할 수 있는 티켓 서비스입니다. |
Allow Renewable Tickets |
선택할 경우 주체가 프록시 가능 티켓을
얻을 수 있습니다. 프록시 가능 티켓은 서비스가 클라이언트를 대신하여 클라이언트 작업을 수행하는 데
사용할 수 있는 티켓입니다. 프록시 가능 티켓을 사용하면 서비스가 클라이언트 ID를 사용하여
다른 서비스의 티켓을 얻을 수 있습니다. 그러나 TGT(티켓 부여 티켓)를 얻을 수는
없습니다. |
Allow Service Tickets |
선택할 경우 주체에 대한 서비스 티켓을 발행할 수 있습니다. kadmin/hostname 및
changepw/ hostname 주체에 대한 서비스 티켓이 발행되도록 해서는 안됩니다. 이렇게 하면 해당 주체만
KDC 데이터베이스를 업데이트할 수 있습니다. |
Allow TGT-Based Authentication |
선택할 경우 서비스 주체가 다른 주체에
서비스를 제공할 수 있습니다. 더 구체적으로, 이 속성을 사용하면 KDC가 서비스 주체에
대해 서비스 티켓을 발행할 수 있습니다. 이 속성은 서비스 주체의 경우에만 유효합니다. 선택을
취소할 경우 서비스 주체에 대해 서비스 티켓을 발행할 수 없습니다. |
Allow Duplicate Authentication |
선택할
경우 사용자 주체가 다른 사용자 주체에 대한 서비스 티켓을 얻을 수 있습니다. 이
속성은 사용자 주체의 경우에만 유효합니다. 선택을 취소할 경우 사용자 주체가 서비스 주체에
대한 서비스 티켓을 얻을 수는 있지만, 다른 사용자 주체에 대한 서비스 티켓은
얻을 수 없습니다. |
Required Preauthentication |
선택할 경우 해당 주체가 실제로 TGT(티켓 부여 티켓)를 요청한
주체임이 (소프트웨어를 통해) 인증될 때까지 KDC가 요청된 TGT를 주체에게 전송하지 않습니다. 이
사전 인증은 보통 DES 카드와 같은 추가 암호를 통해 수행됩니다. 선택을 취소할 경우
KDC가 요청된 TGT를 주체에게 전송하기 전에 주체를 사전 인증할 필요가 없습니다. |
Required Hardware
Authentication |
선택할 경우 해당 주체가 실제로 TGT(티켓 부여 티켓)를 요청한 주체임이 (하드웨어를 통해)
인증될 때까지 KDC가 요청된 TGT를 주체에게 전송하지 않습니다. 예를 들어 하드웨어 사전
인증은 Java Ring Reader에서 발생할 수 있습니다. 선택을 취소할 경우 KDC가 요청된 TGT를
주체에게 전송하기 전에 주체를 사전 인증할 필요가 없습니다. |
|
표 23-5 SEAM 도구의 Policy Basics(정책 기본 사항) 창 속성
|
|
|---|
Policy Name |
정책의 이름입니다. 정책은 주체의
암호와 티켓을 제어하는 규칙 세트입니다. 정책을 수정하는 경우 정책 이름은 편집할 수 없습니다. |
Minimum
Password Length |
주체 암호의 최소 길이입니다. |
Minimum Password Classes |
주체의 암호에 필요한 최소한의 서로 다른
문자 유형 수입니다. 예를 들어 최소 클래스 값이 2인 경우, 암호의 서로 다른
문자 유형이 문자 및 숫자(hi2mom)와 같이 최소 두 개여야 합니다. 값이 3인
경우, 암호의 서로 다른 문자 유형이 문자, 숫자, 구두점(hi2mom!)과 같이 최소 세
개여야 합니다. 값이 그 이상인 경우에도 마찬가지입니다. 값이 1인 경우는 암호 문자
유형 수에 제한이 없습니다. |
Saved Password History |
주체가 이전에 사용한 암호 수 및 재사용할
수 없는 이전 암호 목록입니다. |
Minimum Password Lifetime (seconds) |
암호를 변경하기 전까지 사용해야 하는
최소 기간입니다. |
Maximum Password Lifetime (seconds) |
암호를 변경하기 전까지 사용할 수 있는 최대 기간입니다. |
Principals
Using This Policy |
이 정책이 현재 적용된 주체 수입니다 (읽기 전용). |
|
제한된 Kerberos 관리 권한으로 SEAM 도구 사용
admin 주체가 Kerberos 데이터베이스를 관리할 수 있는 모든 권한을 가지고 있는 경우
SEAM 도구의 모든 기능을 사용할 수 있습니다. 그러나 주체 목록을 보거나 주체의
암호를 변경할 수만 있는 등 제한된 권한을 가지고 있을 수도 있습니다. 제한된
Kerberos 관리 권한으로도 SEAM 도구를 사용할 수 있습니다. 그러나 SEAM 도구의 여러
부분이 사용자가 보유하고 있지 않은 Kerberos 관리 권한을 기준으로 변경됩니다. 표 23-6은 사용자의
Kerberos 관리 권한을 기준으로 SEAM 도구가 변경되는 방식을 보여줍니다.
나열 권한이 없을 경우 SEAM 도구가 시각적으로 가장 많이 변경됩니다. 나열 권한이
없을 경우 List(목록) 패널에 조작할 주체 및 정책 목록이 표시되지 않습니다. 대신,
List(목록) 패널의 Name(이름) 필드를 사용하여 조작할 주체나 정책을 지정해야 합니다.
SEAM 도구에 로그인했는데 작업을 수행할 수 있는 충분한 권한이 없을 경우, 다음과
같은 메시지가 표시되고 다시 SEAM Administration Login(SEAM 관리 로그인) 창으로 돌아갑니다.
Insufficient privileges to use gkadmin: ADMCIL. Please try using another principal.
Kerberos 데이터베이스를 관리할 수 있도록 주체에 대한 권한을 변경하려면 Kerberos 관리 권한을 수정하는 방법으로 이동하십시오.
표 23-6 제한된 Kerberos 관리 권한으로 SEAM 도구 사용
|
|
|---|
a(추가) |
Principal List(주체 목록) 및 Policy List(정책 목록) 패널에서 Create
New(새로 만들기) 및 Duplicate(복제) 버튼을 사용할 수 없습니다. 추가 권한이 없을 경우
주체나 정책을 새로 만들거나 이들을 복제할 수 없습니다. |
d(삭제) |
Principal List(주체 목록) 및 Policy
List(정책 목록) 패널에서 Delete(삭제) 버튼을 사용할 수 없습니다. 삭제 권한이 없을 경우
주체나 정책을 삭제할 수 없습니다. |
m(수정) |
Principal List(주체 목록) 및 Policy List(정책 목록) 패널에서
Modify(수정) 버튼을 사용할 수 없습니다. 수정 권한이 없을 경우 주체나 정책을 수정할
수 없습니다. 또한 Modify(수정) 버튼을 사용할 수 없는 경우 암호 변경 권한이
있더라도 주체의 암호를 수정할 수 없습니다. |
c(암호 변경) |
Principal Basics(주체 기본 사항) 패널의 Password(암호)
필드가 읽기 전용이며 변경할 수 없습니다. 암호 변경 권한이 없을 경우 주체의
암호를 수정할 수 없습니다. 암호 변경 권한이 있더라도 수정 권한이 있어야 주체의
암호를 변경할 수 있습니다. |
i(데이터베이스 조회) |
Principal List(주체 목록) 및 Policy List(정책 목록) 패널에서
Modify(수정) 및 Duplicate(복제) 버튼을 사용할 수 없습니다. 조회 권한이 없을 경우 주체나
정책을 수정하거나 복제할 수 없습니다. 또한 Modify(수정) 버튼을 사용할 수 없는 경우
암호 변경 권한이 있더라도 주체의 암호를 수정할 수 없습니다. |
l(나열) |
List(목록) 패널의 주체 및
정책 목록을 사용할 수 없습니다. 나열 권한이 없을 경우 List(목록) 패널의 Name(이름)
필드를 사용하여 조작할 주체나 정책을 지정해야 합니다. |
|
