SEAM Administration Tool
SEAM Administration Tool (SEAM Tool) 是一个交互式的图形用户界面 (graphical user interface, GUI),用于维护 Kerberos 主体和策略。此工具提供的功能与 kadmin 命令基本相同。但是,此工具不支持密钥表文件管理。必须使用 kadmin 命令来管理密钥表文件,如管理密钥表文件中所述。
与 kadmin 命令类似,SEAM Tool 使用 Kerberos 验证和加密 RPC 从网络中的任何位置安全操作。SEAM Tool 可以执行以下操作:
-
创建基于缺省值或现有主体的新主体。
-
创建基于现有策略的新策略。
-
为主体添加注释。
-
设置缺省值以创建新主体。
-
在不退出工具的情况下以其他主体身份登录。
-
打印或保存主体列表和策略列表。
-
查看和搜索主体列表和策略列表。
SEAM Tool 还会提供关联说明和一般联机帮助。
以下任务列表提供了指向可借助 SEAM Tool 完成的各种任务的链接:
此外,还可转至SEAM Tool 面板说明,了解可在 SEAM Tool 中指定或查看的所有主体属性和策略属性的说明。
SEAM Tool 的等效命令行
本节列出了一些 kadmin 命令,其提供的功能与 SEAM Tool 相同。无需运行 X 窗口系统,便可使用这些命令。尽管本章中的大多数过程使用 SEAM Tool,但其中许多过程还提供了使用等效命令行的对应示例。
表 24–1 SEAM Tool 的等效命令行|
SEAM Tool 过程 |
等效的 kadmin 命令 |
|---|---|
|
查看主体列表。 |
list_principals 或 get_principals |
|
查看主体属性。 |
get_principal |
|
创建新主体。 |
add_principal |
|
复制主体。 |
无等效命令行 |
|
修改主体。 |
modify_principal 或 change_password |
|
删除主体。 |
delete_principal |
|
设置缺省值以创建新主体。 |
无等效命令行 |
|
查看策略列表。 |
list_policies 或 get_policies |
|
查看策略属性。 |
get_policy |
|
创建新策略。 |
add_policy |
|
复制策略。 |
无等效命令行 |
|
修改策略。 |
modify_policy |
|
删除策略。 |
delete_policy |
SEAM Tool 修改的唯一文件
SEAM Tool 修改的唯一文件是 $HOME/.gkadmin 文件。该文件包含用于创建新主体的缺省值。通过从 "Edit" 菜单中选择 "Properties",可以更新该文件。
SEAM Tool 的打印和联机帮助功能
SEAM Tool 提供了打印功能和联机帮助功能。通过 "Print" 菜单,可将以下各项发送至打印机或文件:
通过 "Help" 菜单,可以访问关联说明和一般帮助。从 "Help" 菜单中选择 "Context-Sensitive Help" 时,将显示 "Context-Sensitive Help" 窗口并且工具会切换为帮助模式。在帮助模式下,如果单击该窗口中的任何字段、标签或按钮,将在 "Help" 窗口中显示有关该项的帮助。要切换回工具的一般模式,请在 "Help" 窗口中单击 "Dismiss"。
此外,还可选择 "Help Contents",这将打开一个 HTML 浏览器,其中会提供指向本章中介绍的一般概述和任务信息的链接。
在 SEAM Tool 中处理大型列表
随着站点开始积累大量主体和策略,使用 SEAM Tool 装入并显示主体和策略列表所需的时间将会越来越长。因此,使用该工具时的工作效率会下降。解决此问题有多种办法。
首先,通过使 SEAM Tool 不装入列表,可以完全省去装入列表的时间。可以设置此选项,方法是从 "Edit" 菜单中选择 "Properties",然后取消选中 "Show Lists" 字段。当然,如果该工具不装入列表,则不能显示这些列表,因此将无法再使用列表面板来选择主体或策略。而必须在提供的新 "Name" 字段中键入主体或策略名称,然后选择要对其执行的操作。键入名称与从列表中选择项的结果相同。
处理大型列表的另一种方法是对其进行高速缓存。实际上,已将 SEAM Tool 的缺省行为设置为将列表高速缓存一段时间。最初 SEAM Tool 还是必须将这些列表装入高速缓存。但在此后,该工具就可以使用高速缓存,而不必再次获取列表。这样便无需不断从服务器装入列表(正是此操作占用了大量时间)。
通过从 "Edit" 菜单中选择 "Properties",可以设置列表高速缓存。有两种高速缓存设置。可以选择将列表永久高速缓存;也可以指定必须将列表从服务器重新装入高速缓存的时间限制。
对列表进行高速缓存时,仍然可以使用列表面板来选择主体和策略,因此该方法不会像第一种方法那样影响 SEAM Tool 的使用方式。另外,尽管使用高速缓存使您无法查看其他用户所做的更改,但您仍可以根据自己所做的更改查看最新列表信息,因为您所做的更改会对服务器和高速缓存中的列表进行更新。而且,如果要更新高速缓存以查看其他更改并获取最新列表副本,可在需要从服务器刷新高速缓存时使用 "Refresh" 菜单。
如何启动 SEAM Tool
-
使用 gkadmin 命令启动 SEAM Tool。
$ /usr/sbin/gkadmin
此时会显示 "SEAM Administration Login" 窗口。
-
如果不想使用现有的缺省值,请指定新的缺省值。
该窗口会自动使用缺省值填充。缺省主体名称 (username/admin) 是通过从 USER 环境变量获取当前身份并在其后附加 /admin 确定的。缺省的 "Realm" 和 "Master KDC" 字段选自 /etc/krb5/krb5.conf 文件。如果要恢复这些缺省值,请单击 "Start Over"。
注 –每个主体名称可以执行的管理操作在 Kerberos ACL 文件 /etc/krb5/kadm5.acl 中指定。有关受限权限的信息,请参见以受限 Kerberos 管理权限使用 SEAM Tool。
-
键入指定主体名称的口令。
-
单击 "OK"。
此时会显示以下窗口:
- © 2010, Oracle Corporation and/or its affiliates