本节提供可在 SEAM Tool 中指定或查看的每个主体和策略属性的说明。这些属性按显示它们的面板进行组织。
表 24–2 SEAM Tool 的 "Principal Basics" 面板中的属性
属性 |
说明 |
---|---|
Principal Name |
主体的名称(全限定主体名称的 primary/instance 部分)。主体是 KDC 可以为其指定票证的唯一标识。 修改主体时不能编辑其名称。 |
Password |
主体的口令。可使用 "Generate Random Password" 按钮为主体创建随机口令。 |
Policy |
主体的可用策略菜单。 |
Account Expires |
主体帐户的失效日期和时间。帐户失效后,主体就无法再获取票证授予票证 (Ticket-Granting Ticket, TGT),并且可能无法登录。 |
Last Principal Change |
上次修改主体信息的日期。(只读) |
Last Changed By |
上次更改此主体帐户的主体的名称。(只读) |
注释 |
与主体有关的注释(如“临时帐户”)。 |
表 24–3 SEAM Tool 的 "Principal Details" 面板中的属性
属性 |
说明 |
---|---|
Last Success |
主体上次登录成功的日期和时间。(只读) |
Last Failure |
主体上次登录失败的日期和时间。(只读) |
Failure Count |
主体登录失败的次数。(只读) |
Last Password Change |
上次更改主体口令的日期和时间。(只读) |
Password Expires |
主体当前口令失效的日期和时间。 |
Key Version |
主体的密钥版本号。通常,只有在口令已泄漏的情况下才会更改此属性。 |
Maximum Lifetime (seconds) |
可将票证授予主体的最长时间(不续用)。 |
Maximum Renewal (seconds) |
主体可续用现有票证的最长时间。 |
表 24–4 SEAM Tool 的 "Principal Flags" 面板中的属性
属性(单选按钮) |
说明 |
---|---|
Disable Account |
选中此项后,将禁止主体登录。此属性提供了一种临时冻结主体帐户的简便方法。 |
Require Password Change |
选中此项后,将使主体的当前口令失效,这将会强制用户使用 kpasswd 命令来创建新口令。如果安全性被破坏,并且需要确保替换旧口令,则此属性很有用。 |
Allow Postdated Tickets |
选中此项后,将允许主体获取以后生效的票证。 例如,如果 cron 作业必须在几小时后运行,但您又因为票证的生命周期不够长而无法提前获取票证,则可能需要对其使用以后生效的票证。 |
Allow Forwardable Tickets |
选中此项后,将允许主体获取可转发的票证。 可转发的票证即可转发至远程主机以提供单点登录会话的票证。例如,如果使用可转发的票证并且通过 ftp 或 rsh 进行自我验证,则可使用其他服务(如 NFS 服务),而不会提示您输入其他口令。 |
Allow Renewable Tickets |
选中此项后,将允许主体获取可续用的票证。 主体可以自动延长可续用票证的失效日期或时间,而不必在票证首次失效后获取新的票证。目前,NFS 服务是可以续用票证的票证服务。 |
Allow Proxiable Tickets |
选中此项后,将允许主体获取可代理的票证。 可代理票证即可被服务以客户机名义执行客户机操作时使用的票证。借助可代理票证,服务可采用客户机的身份来获取其他服务的票证。但是,该服务不能获取票证授予票证 (Ticket-Granting Ticket, TGT)。 |
Allow Service Tickets |
选中此项后,将允许为主体颁发服务票证。 不允许为 kadmin/hostname 和 changepw/hostname 主体颁发服务票证。此做法可确保只有这些主体才能更新 KDC 数据库。 |
Allow TGT-Based Authentication |
选中此项后,将允许服务主体为其他主体提供服务。具体而言,此属性允许 KDC 为服务主体颁发服务票证。 此属性仅对服务主体有效。如果取消选中此项,将无法为服务主体颁发服务票证。 |
Allow Duplicate Authentication |
选中此项后,将允许用户主体获取其他用户主体的服务票证。 此属性仅对用户主体有效。如果取消选中此项,用户主体将仍可获取服务主体的服务票证,但不能获取其他用户主体的服务票证。 |
Required Preauthentication |
选中此项后,KDC 在验证(通过软件)主体确为请求 TGT 的主体之前,不会将请求的票证授予票证 (Ticket-Granting Ticket, TGT) 发送给该主体。此预验证通常通过附加口令(如 DES 卡)完成。 如果取消选中此项,则 KDC 不必在向主体发送请求的 TGT 之前预先验证主体。 |
Required Hardware Authentication |
选中此项后,KDC 在验证(通过硬件)主体确为请求 TGT 的主体之前,不会将请求的票证授予票证 (Ticket-Granting Ticket, TGT) 发送给该主体。例如,可对 Java 环形阅读器进行硬件预验证。 如果取消选中此项,则 KDC 不必在向主体发送请求的 TGT 之前预先验证主体。 |
表 24–5 SEAM Tool 的 "Policy Basics" 面板中的属性
属性 |
说明 |
---|---|
Policy Name |
策略的名称。策略是一组用于管理主体口令和票证的规则。 修改策略时不能编辑其名称。 |
Minimum Password Length |
主体口令的最小长度。 |
Minimum Password Classes |
主体口令中要求使用的最少不同字符类型数。 例如,最少类值为 2 表示口令必须至少使用两种不同的字符类型,如字母和数字 (hi2mom)。值为 3 表示口令必须至少使用三种不同的字符类型,如字母、数字和标点符号 (hi2mom!)。依此类推。 值为 1 则表示对口令字符类型数未设置任何限制。 |
Saved Password History |
主体先前使用的口令数,以及无法重新使用的先前口令的列表。 |
Minimum Password Lifetime (seconds) |
口令在可更改之前必须经历的最短时间。 |
Maximum Password Lifetime (seconds) |
口令在必须更改之前可以经历的最长时间。 |
Principals Using This Policy |
当前应用此策略的主体数。(只读) |