本节为 SEAM Tool 中的每个面板提供说明。另外,还提供有关以受限权限使用 SEAM Tool 的信息。
本节提供可在 SEAM Tool 中指定或查看的每个主体和策略属性的说明。这些属性按显示它们的面板进行组织。
表 24–2 SEAM Tool 的 "Principal Basics" 面板中的属性
属性 |
说明 |
---|---|
Principal Name |
主体的名称(全限定主体名称的 primary/instance 部分)。主体是 KDC 可以为其指定票证的唯一标识。 修改主体时不能编辑其名称。 |
Password |
主体的口令。可使用 "Generate Random Password" 按钮为主体创建随机口令。 |
Policy |
主体的可用策略菜单。 |
Account Expires |
主体帐户的失效日期和时间。帐户失效后,主体就无法再获取票证授予票证 (Ticket-Granting Ticket, TGT),并且可能无法登录。 |
Last Principal Change |
上次修改主体信息的日期。(只读) |
Last Changed By |
上次更改此主体帐户的主体的名称。(只读) |
注释 |
与主体有关的注释(如“临时帐户”)。 |
表 24–3 SEAM Tool 的 "Principal Details" 面板中的属性
属性 |
说明 |
---|---|
Last Success |
主体上次登录成功的日期和时间。(只读) |
Last Failure |
主体上次登录失败的日期和时间。(只读) |
Failure Count |
主体登录失败的次数。(只读) |
Last Password Change |
上次更改主体口令的日期和时间。(只读) |
Password Expires |
主体当前口令失效的日期和时间。 |
Key Version |
主体的密钥版本号。通常,只有在口令已泄漏的情况下才会更改此属性。 |
Maximum Lifetime (seconds) |
可将票证授予主体的最长时间(不续用)。 |
Maximum Renewal (seconds) |
主体可续用现有票证的最长时间。 |
表 24–4 SEAM Tool 的 "Principal Flags" 面板中的属性
属性(单选按钮) |
说明 |
---|---|
Disable Account |
选中此项后,将禁止主体登录。此属性提供了一种临时冻结主体帐户的简便方法。 |
Require Password Change |
选中此项后,将使主体的当前口令失效,这将会强制用户使用 kpasswd 命令来创建新口令。如果安全性被破坏,并且需要确保替换旧口令,则此属性很有用。 |
Allow Postdated Tickets |
选中此项后,将允许主体获取以后生效的票证。 例如,如果 cron 作业必须在几小时后运行,但您又因为票证的生命周期不够长而无法提前获取票证,则可能需要对其使用以后生效的票证。 |
Allow Forwardable Tickets |
选中此项后,将允许主体获取可转发的票证。 可转发的票证即可转发至远程主机以提供单点登录会话的票证。例如,如果使用可转发的票证并且通过 ftp 或 rsh 进行自我验证,则可使用其他服务(如 NFS 服务),而不会提示您输入其他口令。 |
Allow Renewable Tickets |
选中此项后,将允许主体获取可续用的票证。 主体可以自动延长可续用票证的失效日期或时间,而不必在票证首次失效后获取新的票证。目前,NFS 服务是可以续用票证的票证服务。 |
Allow Proxiable Tickets |
选中此项后,将允许主体获取可代理的票证。 可代理票证即可被服务以客户机名义执行客户机操作时使用的票证。借助可代理票证,服务可采用客户机的身份来获取其他服务的票证。但是,该服务不能获取票证授予票证 (Ticket-Granting Ticket, TGT)。 |
Allow Service Tickets |
选中此项后,将允许为主体颁发服务票证。 不允许为 kadmin/hostname 和 changepw/hostname 主体颁发服务票证。此做法可确保只有这些主体才能更新 KDC 数据库。 |
Allow TGT-Based Authentication |
选中此项后,将允许服务主体为其他主体提供服务。具体而言,此属性允许 KDC 为服务主体颁发服务票证。 此属性仅对服务主体有效。如果取消选中此项,将无法为服务主体颁发服务票证。 |
Allow Duplicate Authentication |
选中此项后,将允许用户主体获取其他用户主体的服务票证。 此属性仅对用户主体有效。如果取消选中此项,用户主体将仍可获取服务主体的服务票证,但不能获取其他用户主体的服务票证。 |
Required Preauthentication |
选中此项后,KDC 在验证(通过软件)主体确为请求 TGT 的主体之前,不会将请求的票证授予票证 (Ticket-Granting Ticket, TGT) 发送给该主体。此预验证通常通过附加口令(如 DES 卡)完成。 如果取消选中此项,则 KDC 不必在向主体发送请求的 TGT 之前预先验证主体。 |
Required Hardware Authentication |
选中此项后,KDC 在验证(通过硬件)主体确为请求 TGT 的主体之前,不会将请求的票证授予票证 (Ticket-Granting Ticket, TGT) 发送给该主体。例如,可对 Java 环形阅读器进行硬件预验证。 如果取消选中此项,则 KDC 不必在向主体发送请求的 TGT 之前预先验证主体。 |
表 24–5 SEAM Tool 的 "Policy Basics" 面板中的属性
属性 |
说明 |
---|---|
Policy Name |
策略的名称。策略是一组用于管理主体口令和票证的规则。 修改策略时不能编辑其名称。 |
Minimum Password Length |
主体口令的最小长度。 |
Minimum Password Classes |
主体口令中要求使用的最少不同字符类型数。 例如,最少类值为 2 表示口令必须至少使用两种不同的字符类型,如字母和数字 (hi2mom)。值为 3 表示口令必须至少使用三种不同的字符类型,如字母、数字和标点符号 (hi2mom!)。依此类推。 值为 1 则表示对口令字符类型数未设置任何限制。 |
Saved Password History |
主体先前使用的口令数,以及无法重新使用的先前口令的列表。 |
Minimum Password Lifetime (seconds) |
口令在可更改之前必须经历的最短时间。 |
Maximum Password Lifetime (seconds) |
口令在必须更改之前可以经历的最长时间。 |
Principals Using This Policy |
当前应用此策略的主体数。(只读) |
如果 admin 主体拥有管理 Kerberos 数据库的所有权限,则可使用 SEAM Administration Tool 的所有功能。但是,您的权限可能受到限制,如仅允许查看主体列表或更改主体口令。借助受限 Kerberos 管理权限,仍然可以使用 SEAM Tool。但是,SEAM Tool 的各个部分会基于未拥有的 Kerberos 管理权限而变化。表 24–6 显示了 SEAM Tool 基于 Kerberos 管理权限变化的情况。
没有列表权限时,SEAM Tool 会发生最直观的变化。如果没有列表权限,列表面板便不会显示供您处理的主体和策略列表。相反,您必须使用列表面板中的 "Name" 字段来指定要处理的主体或策略。
如果您登录到 SEAM Tool,但却没有足够的权限来使用它执行任务,则会显示以下消息并且会返回到 "SEAM Administration Login" 窗口:
Insufficient privileges to use gkadmin: ADMCIL. Please try using another principal. |
要更改主体的权限以便它可管理 Kerberos 数据库,请转至如何修改 Kerberos 管理权限。
表 24–6 以受限 Kerberos 管理权限使用 SEAM Tool
禁用的权限 |
SEAM Tool 如何变化 |
---|---|
a(添加) |
"Principal List" 和 "Policy List" 面板中的 "Create New" 和 "Duplicate" 按钮不可用。如果没有添加权限,则无法创建新主体或策略,也不能复制它们。 |
d(删除) |
"Principal List" 和 "Policy List" 面板中的 "Delete" 按钮不可用。如果没有删除权限,则无法删除主体或策略。 |
m(修改) |
"Principal List" 和 "Policy List" 面板中的 "Modify" 按钮不可用。如果没有修改权限,则无法修改主体或策略。 而且,如果 "Modify" 按钮不可用,则即使您拥有更改口令的权限,也不能修改主体的口令。 |
c(更改口令) |
"Principal Basics" 面板中的 "Password" 字段处于只读状态,无法更改。如果没有更改口令的权限,则无法修改主体的口令。 请注意,即使您拥有更改口令的权限,还必须同时拥有修改权限才能更改主体的口令。 |
i(查询数据库) |
"Principal List" 和 "Policy List" 面板中的 "Modify" 和 "Duplicate" 按钮不可用。如果没有查询权限,则无法修改或复制主体或策略。 而且,如果 "Modify" 按钮不可用,则即使您拥有更改口令的权限,也不能修改主体的口令。 |
l(列出) |
列表面板中的主体和策略列表不可用。如果没有列表权限,则必须使用列表面板中的 "Name" 字段来指定要处理的主体或策略。 |