この節では、SEAM ツールで指定または表示できる主体とポリシーの属性について説明します。属性は、表示されるパネルごとに分類されています。
表 25–2 SEAM ツールの「Principal Basics」パネルの属性
属性 |
説明 |
---|---|
Principal Name |
主体名 (完全指定形式の主体名の primary/instance 部分)。主体は、KDC がチケットを割り当てることができる一意の ID です。 主体を変更しても、主体名は編集できません。 |
パスワード |
主体のパスワード。「Generate Random Password」ボタンを使用して、主体のランダムパスワードを作成できます。 |
Policy |
主体に使用できるポリシーのメニュー。 |
Account Expires |
主体のアカウントが期限切れになる日時。アカウントが期限切れになると、主体はチケット認可チケット (TGT) を取得できず、ログインできなくなります。 |
Last Principal Change |
主体の情報が最後に変更された日付。(読み取り専用) |
Last Changed By |
この主体のアカウントを最後に変更した主体名。(読み取り専用) |
Comments |
主体に関連するコメント (「一時アカウント」など)。 |
表 25–3 SEAM ツールの「Principal Details」パネルの属性
属性 |
説明 |
---|---|
Last Success |
主体が最後に正常にログインした日時。(読み取り専用) |
Last Failure |
主体が最後にログインに失敗した日時。(読み取り専用) |
Failure Count |
主体のログインが失敗した回数。(読み取り専用) |
Last Password Change |
主体のパスワードが最後に変更された日時。(読み取り専用) |
Password Expires |
主体の現在のパスワードが期限切れになる日時。 |
Key Version |
主体の鍵のバージョン番号。この属性は通常、パスワードが危険にさらされた場合にだけ変更されます。 |
Maximum Lifetime (seconds) |
チケットを主体が使用できる最大期間 (更新しない場合)。 |
Maximum Renewal (seconds) |
既存のチケットを主体が更新できる最大期間。 |
表 25–4 SEAM ツールの「Principal Flags」パネルの属性
属性 (ラジオボタン) |
説明 |
---|---|
Disable Account |
チェックすると、その主体はログインできなくなります。この属性は、主体のアカウントを一時的に凍結するときに使用します。 |
Require Password Change |
チェックすると、主体の現在のパスワードが期限切れとなり、ユーザーは kpasswd コマンドを使用して新しいパスワードを作成しなければなりません。この属性は、セキュリティー侵害が発生し、古いパスワードを置換する必要があるときに使用します。 |
Allow Postdated Tickets |
チェックすると、主体は遅延チケットを取得できます。 たとえば、cron ジョブを数時間後に実行する場合は、遅延チケットを使用する必要があります。ただし、チケットの有効期限が短い場合は、事前にチケットを取得できません。 |
Allow Forwardable Tickets |
チェックすると、主体は転送可能チケットを取得できます。 転送可能チケットは、遠隔ホストに転送されて、シングルサインオンセッションを実現します。たとえば、転送可能チケットを使用して、ユーザー自身の ftp 認証または rsh 認証が完了すると、NFS サービスなどのほかのサービスを利用するときに、新たにパスワードを要求されません。 |
Allow Renewable Tickets |
チェックすると、主体が更新可能チケットを取得できます。 主体は、チケットが更新可能な場合、有効期限日時を自動的に延長することができます。つまり、最初のチケットの期限が切れても、新しいチケットを取得する必要がありません。現在の NFS サービスは、チケットを新しくするチケットサービスです。 |
Allow Proxiable Tickets |
チェックすると、主体は代理可能チケットを取得できます。 代理可能チケットを使用すると、クライアントの代わりにサービスがクライアントの操作を実行できます。代理可能チケットを使用すると、サービスはクライアントの ID を使用して別のサービスのチケットを取得できます。ただし、チケット認可チケット (TGT) を取得することはできません。 |
Allow Service Tickets |
チェックすると、サービスチケットを特定の主体に発行できます。 サービスチケットの発行は、kadmin/hostname および changepw/hostname 主体に許可してはいけません。これらの主体は、KDC データベース以外は更新してはいけません。 |
Allow TGT-Based Authentication |
チェックすると、このサービス主体は別の主体にサービスを提供できます。つまり、KDC は、サービス主体にサービスチケットを発行できます。 この属性は、サービス主体にだけ使用できます。チェックを解除すると、サービスチケットをサービス主体に対して発行できません。 |
Allow Duplicate Authentication |
チェックすると、このユーザー主体はほかのユーザー主体のサービスチケットを取得できます。 この属性は、ユーザー主体にだけ使用できます。チェックを解除すると、ユーザー主体はサービス主体のサービスチケットを取得できますが、ほかのユーザー主体のサービスチケットは取得できません。 |
Required Preauthentication |
チェックすると、KDC が要求されたチケット認可チケット (TGT) を主体に送信する前に、その主体が TGT を要求している主体であることを KDC のソフトウェアが認証します。この事前認証は通常、DES カードなどの特別のパスワードを使用して行われます。 チェックを解除すると、KDC は要求された TGT を主体に送信する前に、主体の事前認証を必要としません。 |
Required Hardware Authentication |
チェックすると、KDC が要求されたチケット認可チケット (TGT) を主体に送信する前に、その主体が TGT を要求している主体であることを KDC のハードウェアが認証します。ハードウェア事前認証は、たとえば Java リングのリーダー上で行われます。 チェックを解除すると、KDC は要求された TGT を主体に送信する前に、主体の事前認証を必要としません。 |
表 25–5 SEAM ツールの「Policy Basics」区画の属性
属性 |
説明 |
---|---|
ポリシー名 |
ポリシー名。ポリシーとは、主体のパスワードとチケットを管理する一連のルールのことです。 ポリシーを変更しても、ポリシー名は編集できません。 |
Minimum Password Length |
主体の最小パスワード長。 |
Minimum Password Classes |
主体のパスワードに必要な異なる文字タイプの数。 たとえば、最小クラス値が 2 の場合は、パスワードに 2 種類以上の文字タイプを使用する必要があります。たとえば、英字と数字を使用して「hi2mom」と入力する必要があります。値が 3 の場合は、パスワードに 3 種類以上の文字タイプを使用する必要があります。たとえば、英字、数字、および句読点を使用して「hi2mom!」と入力する必要があります。 値が 1 の場合は、パスワード文字タイプの数に制限が設定されません。 |
Saved Password History |
主体に使用された過去のパスワードの数と、過去のパスワードの一覧。これらのパスワードは再使用できません。 |
Minimum Password Lifetime (seconds) |
パスワードの最小使用期間。この期間が経過しないとパスワードを変更できません。 |
Maximum Password Lifetime (seconds) |
パスワードの最大使用期間。この期間が経過したらパスワードを変更する必要があります。 |
Principals Using This Policy |
このポリシーが現在適用されている主体の数。(読み取り専用) |