JavaScript is required to for searching.
跳过导航链接
退出打印视图
Oracle Solaris 11.1 管理:安全服务     Oracle Solaris 11.1 Information Library (简体中文)
search filter icon
search icon

文档信息

前言

第 1 部分安全性概述

1.  安全性服务(概述)

第 2 部分系统、文件和设备安全性

2.  管理计算机安全性(概述)

3.  控制对系统的访问(任务)

4.  病毒扫描服务(任务)

5.  控制对设备的访问(任务)

6.  使用 BART 验证文件完整性(任务)

7.  控制对文件的访问(任务)

第 3 部分角色、权限配置文件和特权

8.  使用角色和特权(概述)

9.  使用基于角色的访问控制(任务)

10.  Oracle Solaris 中的安全属性(参考信息)

第 4 部分加密服务

11.  加密框架(概述)

12.  加密框架(任务)

13.  密钥管理框架

第 5 部分验证服务和安全通信

14.  使用可插拔验证模块

15.  使用 安全 Shell

16.  安全 Shell(参考信息)

17.  使用简单验证和安全层

18.  网络服务验证(任务)

第 6 部分Kerberos 服务

19.  Kerberos 服务介绍

20.  规划 Kerberos 服务

21.  配置 Kerberos 服务(任务)

22.  Kerberos 错误消息和故障排除

23.  管理 Kerberos 主体和策略(任务)

管理 Kerberos 主体和策略的方法

SEAM Tool

SEAM Tool 的等效命令行

SEAM Tool 修改的唯一文件

SEAM Tool 的打印和联机帮助功能

在 SEAM Tool 中处理大型列表

如何启动 SEAM Tool

管理 Kerberos 主体

管理 Kerberos 主体(任务列表)

自动创建新的 Kerberos 主体

如何查看 Kerberos 主体列表

如何查看 Kerberos 主体属性

如何创建新的 Kerberos 主体

如何复制 Kerberos 主体

如何修改 Kerberos 主体

如何删除 Kerberos 主体

如何设置缺省值以创建新的 Kerberos 主体

如何修改 Kerberos 管理特权

管理 Kerberos 策略

管理 Kerberos 策略(任务列表)

如何查看 Kerberos 策略列表

如何查看 Kerberos 策略属性

如何创建新的 Kerberos 策略

如何复制 Kerberos 策略

如何修改 Kerberos 策略

如何删除 Kerberos 策略

SEAM Tool 参考

SEAM Tool 面板说明

以受限 Kerberos 管理特权使用 SEAM Tool

管理密钥表文件

管理密钥表文件(任务列表)

如何将 Kerberos 服务主体添加至密钥表文件

如何从密钥表文件中删除服务主体

如何显示密钥表文件中的密钥列表(主体)

如何在主机上临时禁用对服务的验证

24.  使用 Kerberos 应用程序(任务)

25.  Kerberos 服务(参考信息)

第 7 部分在 Oracle Solaris 中审计

26.  审计(概述)

27.  规划审计

28.  管理审计(任务)

29.  审计(参考信息)

词汇表

索引

SEAM Tool

SEAM Tool (gkadmin) 是一个交互式图形用户界面 (graphical user interface, GUI),用于维护 Kerberos 主体和策略。此工具提供的功能与 kadmin 命令基本相同。但是,此工具不支持密钥表文件管理。必须使用 kadmin 命令来管理密钥表文件,如管理密钥表文件中所述。

kadmin 命令类似,SEAM Tool 使用 Kerberos 验证和加密的 RPC 从网络中的任何位置进行安全操作。使用 SEAM Tool 可以执行以下操作:

SEAM Tool 还会提供上下文有关帮助和一般联机帮助。

以下任务列表提供了指向可借助 SEAM Tool 完成的各种任务的链接:

此外,还可转至SEAM Tool 面板说明,了解可在 SEAM Tool 中指定或查看的所有主体属性和策略属性的说明。

SEAM Tool 的等效命令行

本节列出了一些 kadmin 命令,这些命令提供的功能与 SEAM Tool 相同。无需运行 X 窗口系统,便可使用这些命令。尽管本章中的大多数过程使用 SEAM Tool,但其中许多过程还提供了使用等效命令行的对应示例。

表 23-1 SEAM Tool 的等效命令行

SEAM Tool 过程
等效的 kadmin 命令
查看主体列表。
list_principalsget_principals
查看主体属性。
get_principal
创建新主体。
add_principal
复制主体。
无等效命令行
修改主体。
modify_principalchange_password
删除主体。
delete_principal
设置缺省值以创建新主体。
无等效命令行
查看策略列表。
list_policiesget_policies
查看策略属性。
get_policy
创建新策略。
add_policy
复制策略。
无等效命令行
修改策略。
modify_policy
删除策略。
delete_policy

SEAM Tool 修改的唯一文件

SEAM Tool 修改的唯一文件是 $HOME/.gkadmin 文件。该文件包含用于创建新主体的缺省值。通过从 "Edit"(编辑)菜单中选择 "Properties"(属性),可以更新该文件。

SEAM Tool 的打印和联机帮助功能

SEAM Tool 提供了打印功能和联机帮助功能。通过 "Print"(打印)菜单,可将以下各项发送至打印机或文件:

通过 "Help"(帮助)菜单,可以访问上下文相关帮助和一般帮助。从 "Help"(帮助)菜单中选择 "Context-Sensitive Help"(上下文相关帮助)时,将显示 "Context-Sensitive Help"(上下文相关帮助)窗口,并且工具会切换为帮助模式。在帮助模式下,如果单击该窗口中的任何字段、标签或按钮,将在 "Help"(帮助)窗口中显示有关该项的帮助。要切换回工具的正常模式,请在 "Help"(帮助)窗口中单击 "Dismiss"(解除)。

此外,还可选择 "Help Contents"(帮助内容),这将打开一个 HTML 浏览器,其中会提供指向本章中介绍的一般概述和任务信息的链接。

在 SEAM Tool 中处理大型列表

随着站点开始积累大量主体和策略,使用 SEAM Tool 装入并显示主体和策略列表所需的时间将会越来越长。因此,使用该工具时的工作效率会下降。解决此问题有多种办法。

首先,通过使 SEAM Tool 不装入列表,可以完全省去装入列表的时间。可以设置此选项,方法是从 "Edit"(编辑)菜单中选择 "Properties"(属性),然后取消选中 "Show Lists"(显示列表)字段。当然,如果该工具不装入列表,则不能显示这些列表,因此将无法再使用列表面板来选择主体或策略。相应的做法是,必须在提供的新 "Name"(名称)字段中键入主体或策略名称,然后选择要对其执行的操作。实际上,键入名称与从列表中选择项的结果相同。

处理大型列表的另一种方法是对其进行高速缓存。事实上,已将 SEAM Tool 的缺省行为设置为将列表高速缓存一段时间。最初 SEAM Tool 还是必须将这些列表装入高速缓存。但在此后,该工具就可以使用高速缓存,而不必再次获取列表。这样便无需不断从服务器装入列表(正是此操作占用了大量时间)。

通过从 "Edit"(编辑)菜单中选择 "Properties"(属性),可以设置列表高速缓存。有两种高速缓存设置。可以选择将列表永久高速缓存;也可以指定该工具必须将列表从服务器重新装入高速缓存的时间限制。

对列表进行高速缓存时,仍然可以使用列表面板来选择主体和策略,因此该方法不会像第一种方法那样影响 SEAM Tool 的使用方式。另外,尽管使用高速缓存使您无法查看其他用户所做的更改,但您仍可以根据自己所做的更改查看最新列表信息,因为您所做的更改会对服务器和高速缓存中的列表进行更新。而且,如果要更新高速缓存以查看其他更改并获取最新列表副本,可在需要从服务器刷新高速缓存时使用 "Refresh"(刷新)菜单。

如何启动 SEAM Tool

  1. 使用 gkadmin 命令启动 SEAM Tool。
    $ /usr/sbin/gkadmin

    此时会显示 "SEAM Administration Login"(SEAM 管理登录)窗口。


    image:标题为
  2. 如果不想使用这些缺省值,请指定新的缺省值。

    该窗口自动使用缺省值进行填充。缺省主体名称 (username/admin) 是通过从 USER 环境变量获取当前标识并在其后附加 /admin 确定的。缺省的 "Realm"(领域)和 "Master KDC"(主 KDC)字段选自 /etc/krb5/krb5.conf 文件。如果要恢复这些缺省值,请单击 "Start Over"(重新开始)。


    注 - 每个主体名称可以执行的管理操作是由 Kerberos ACL 文件 /etc/krb5/kadm5.acl 指定的。有关受限特权的信息,请参见以受限 Kerberos 管理特权使用 SEAM Tool


  3. 键入指定主体名称的口令。
  4. 单击“确定”。

    此时会显示包含所有主体的窗口。