SEAM Tool 参考
本节介绍了 SEAM Tool 中的各个面板。此外,还提供了有关以受限特权使用 SEAM Tool 的信息。
SEAM Tool 面板说明
本节提供可在 SEAM Tool 中指定或查看的每个主体和策略属性的说明。这些属性按显示它们的面板进行组织。
表 23-2 SEAM Tool 的 "Principal Basics"(主体基本信息)面板中的属性
|
|
|---|
Principal Name(主体名称) |
主体的名称(全限定主体名称的 primary/ instance 部分)。主体是 KDC 可以为其分配票证的唯一标识。 修改主体时不能编辑其名称。 |
Password(口令) |
主体的口令。可使用 "Generate Random Password"(生成随机口令)按钮为主体创建随机口令。 |
Policy(策略) |
主体的可用策略菜单。 |
Account
Expires(帐户过期) |
主体帐户的过期日期和时间。帐户过期后,主体就无法再获取票证授予票证 (ticket-granting ticket, TGT),并且可能无法登录。 |
Last Principal Change(上次主体更改) |
上次修改主体信息的日期。(只读) |
Last Changed By(上次更改者) |
上次修改此主体帐户的主体的名称。(只读) |
Comments(注释) |
与主体有关的注释(如“临时帐户”)。 |
|
表 23-3 SEAM Tool 的 "Principal Details"(主体详细信息)面板中的属性
|
|
|---|
Last Success(上次成功) |
主体上次登录成功的日期和时间。(只读) |
Last Failure(上次失败) |
主体上次登录失败的日期和时间。(只读) |
Failure Count(失败计数) |
主体登录失败的次数。(只读) |
Last
Password Change(上次口令更改) |
上次更改主体口令的日期和时间。(只读) |
Password Expires(口令过期) |
主体当前口令过期的日期和时间。 |
Key Version(密钥版本) |
主体的密钥版本号。通常,只有在口令已泄漏的情况下才会更改此属性。 |
Maximum Lifetime (seconds)(最长生命周期(秒)) |
可将票证授予主体的最长时间(不更新)。 |
Maximum Renewal (seconds)(最长更新期(秒)) |
主体可更新现有票证的最长时间。 |
|
表 23-4 SEAM Tool 的 "Principal Flags"(主体标志)面板中的属性
|
|
|---|
Disable Account(禁用帐户) |
选中此项后,将禁止主体登录。此属性提供了一种临时冻结主体帐户的简便方法。 |
Require Password Change(要求口令更改) |
选中此项后,将使主体的当前口令失效,这将会强制用户使用 kpasswd
命令来创建新口令。如果发生安全违规,并且需要确保替换旧口令,则此属性很有用。 |
Allow Postdated Tickets(允许以后生效的票证) |
选中此项后,将允许主体获取以后生效的票证。 例如,如果 cron 作业必须在几小时后运行,但您又因为票证的生命周期不够长而无法提前获取票证,则可能需要对其使用以后生效的票证。 |
Allow Forwardable Tickets(允许可转发票证) |
选中此项后,将允许主体获取可转发的票证。 可转发票证是可转发至远程主机以提供单点登录会话的票证。例如,如果使用可转发的票证并且通过 ftp 或 rsh 进行自我验证,则可使用其他服务(如
NFS 服务),而不会提示您输入其他口令。 |
Allow Renewable Tickets(允许可更新票证) |
选中此项后,将允许主体获取可更新的票证。 主体可以自动延长可更新票证的失效日期或时间,而不必在票证首次过期后获取新的票证。目前,NFS 服务是可以更新票证的票证服务。 |
Allow Proxiable Tickets(允许可代理票证) |
选中此项后,将允许主体获取可代理的票证。 可代理票证是可被服务以客户机名义执行客户机操作时使用的票证。借助可代理票证,服务可采用客户机的身份来获取其他服务的票证。但是,该服务不能获取票证授予票证 (ticket-granting ticket, TGT)。 |
Allow Service Tickets(允许服务票证) |
选中此项后,将允许为主体颁发服务票证。 不应允许为
kadmin/hostname 和 changepw/hostname 主体颁发服务票证。此做法可确保只有这些主体才能更新 KDC 数据库。 |
Allow TGT-Based Authentication(允许基于 TGT 的验证) |
选中此项后,将允许服务主体为其他主体提供服务。具体而言,此属性允许 KDC 为服务主体颁发服务票证。 此属性仅对服务主体有效。如果取消选中此项,将无法为服务主体颁发服务票证。 |
Allow
Duplicate Authentication(允许复制验证) |
选中此项后,将允许用户主体获取其他用户主体的服务票证。 此属性仅对用户主体有效。如果取消选中此项,用户主体将仍可获取服务主体的服务票证,但不能获取其他用户主体的服务票证。 |
Required Preauthentication(要求预先验证) |
选中此项后,KDC 在验证(通过软件)主体确实为请求 TGT 的主体之前,不会将请求的票证授予票证 (ticket-granting ticket, TGT) 发送给该主体。此预验证通常通过附加口令(例如,从 DES 卡)完成。 如果取消选中此项,则
KDC 不必在向主体发送请求的 TGT 之前预先验证主体。 |
Required Hardware Authentication(要求硬件验证) |
选中此项后,KDC 在验证(通过硬件)主体确实为请求 TGT 的主体之前,不会将请求的票证授予票证 (ticket-granting ticket, TGT)
发送给该主体。例如,可对 Java 环形阅读器进行硬件预验证。 如果取消选中此项,则 KDC 不必在向主体发送请求的 TGT 之前预先验证主体。 |
|
表 23-5 SEAM Tool 的 "Policy Basics"(策略基本信息)面板中的属性
|
|
|---|
Policy Name(策略名称) |
策略的名称。策略是用于管理主体口令和票证的规则集合。 修改策略时不能编辑其名称。 |
Minimum Password Length(最小口令长度) |
主体口令的最小长度。 |
Minimum Password Classes(最少口令类) |
主体口令中要求使用的最少不同字符类型数。 例如,最少类值为
2 表示口令必须至少使用两种不同的字符类型,如字母和数字 (hi2mom)。值为 3 表示口令必须至少使用三种不同的字符类型,如字母、数字和标点符号 (hi2mom!)。依此类推。 值为 1 则表示对口令字符类型数未设置任何限制。 |
Saved Password History(保存的口令历史记录) |
主体先前使用的口令数,以及无法重新使用的先前口令的列表。 |
Minimum Password
Lifetime (seconds)(最短口令生命周期(秒)) |
口令在可更改之前必须经历的最短时间。 |
Maximum Password Lifetime (seconds)(最长口令生命周期(秒)) |
口令在必须更改之前可以经历的最长时间。 |
Principals Using This Policy(使用此策略的主体) |
当前应用此策略的主体数。(只读) |
|
以受限 Kerberos 管理特权使用 SEAM Tool
如果 admin 主体拥有管理 Kerberos 数据库的所有特权,则可使用 SEAM Tool 的所有功能。不过,您的特权可能受到限制,如仅允许查看主体列表或更改主体口令。借助受限 Kerberos 管理特权,仍然可以使用 SEAM Tool。但是,SEAM
Tool 的各个部分会基于未拥有的 Kerberos 管理特权而变化。表 23-6 显示了 SEAM Tool 基于 Kerberos 管理特权变化的情况。
没有列表特权时,SEAM Tool 会发生最直观的变化。如果没有列表特权,列表面板便不会显示供您处理的主体和策略列表。相反,您必须使用列表面板中的 "Name"(名称)字段来指定要处理的主体或策略。
如果您登录到 SEAM Tool,但却没有足够的特权来使用它执行任务,则会显示以下消息并且会返回到 "SEAM Administration Login"(SEAM 管理登录)窗口:
Insufficient privileges to use gkadmin: ADMCIL. Please try using another principal.
要更改主体的特权以便它可管理 Kerberos 数据库,请转至如何修改 Kerberos 管理特权。
表 23-6 以受限 Kerberos 管理特权使用 SEAM Tool
|
|
|---|
a(添加) |
"Principal List"(主体列表)和 "Policy List"(策略列表)面板中的 "Create New"(新建)和 "Duplicate"(复制)按钮不可用。如果没有添加特权,则无法创建新主体或策略,也不能复制它们。 |
d(删除) |
"Principal List"(主体列表)和
"Policy List"(策略列表)面板中的 "Delete"(删除)按钮不可用。如果没有删除特权,则无法删除主体或策略。 |
m(修改) |
"Principal List"(主体列表)和 "Policy List"(策略列表)面板中的 "Modify"(修改)按钮不可用。如果没有修改特权,则无法修改主体或策略。 而且,如果 "Modify"(修改)按钮不可用,则即使您拥有更改口令的特权,也不能修改主体的口令。 |
c(更改口令) |
"Principal Basics"(主体基本信息)面板中的 "Password"(口令)字段处于只读状态,无法更改。如果没有更改口令的特权,则无法修改主体的口令。 请注意,即使您拥有更改口令的特权,还必须同时拥有修改特权才能更改主体的口令。 |
i(查询数据库) |
"Principal
List"(主体列表)和 "Policy List"(策略列表)面板中的 "Modify"(修改)和 "Duplicate"(复制)按钮不可用。如果没有查询特权,则无法修改或复制主体或策略。 而且,如果 "Modify"(修改)按钮不可用,则即使您拥有更改口令的特权,也不能修改主体的口令。 |
l(列出) |
列表面板中的主体和策略列表不可用。如果没有列表特权,则必须使用列表面板中的 "Name"(名称)字段来指定要处理的主体或策略。 |
|
