プリンシパル名 (Principal Name) 

プリンシパル名 (完全指定されたプリンシパル名の primary/instance 部分)。プリンシパルとは、KDC がチケットを割り当てることができる固有の識別情報。

プリンシパルを変更する場合、プリンシパル名は変更できません。 

パスワード (Password) 

プリンシパルのパスワード。「ランダムパスワードを生成 (Generate Random Password)」ボタンを使用すると、ランダムなパスワードをプリンシパルに作成可能 

ポリシー (Policy) 

プリンシパルで利用可能なポリシーのメニュー 

アカウントの期限切れ (Account Expires) 

プリンシパルのアカウントの有効期限の日付と時刻。アカウントが有効期限を過ぎるとプリンシパルはチケット許可チケット (TGT) を取得できないため、ログインできません。 

プリンシパルの前回の変更 (Last Principal Change) 

プリンシパルの情報を最後に変更した日付 (読み取り専用) 

最終変更者 (Last Changed By) 

当該プリンシパルのアカウントを最後に変更したプリンシパル名 (読み取り専用) 

コメント (Comment) 

プリンシパルに関連するコメント (たとえば、「一時的なアカウント」) 

最後のログイン (Last Success) 

プリンシパルが最後にログインに成功した日付と時刻 (読み取り専用) 

最後のログイン失敗 (Last Failure) 

プリンシパルが最後にログインに失敗した日付と時刻 (読み取り専用) 

ログイン失敗回数 (Failure Count) 

プリンシパルがログインに失敗した回数 (読み取り専用) 

パスワードの前回の変更 (Last Password Change) 

プリンシパルのパスワードを最後に変更した日付と時刻 (読み取り専用) 

パスワードの期限切れ 

プリンシパルの現在のパスワードの期限が切れる日付と時刻 

鍵バージョン (Key Version) 

プリンシパルの鍵バージョン番号。この値が変更されるのは通常、パスワードが漏洩した場合のみ 

最大有効期間 (秒) (Maximum Lifetime (seconds)) 

(更新なしで) プリンシパルにチケットを許可できる最大期間 

最大更新期間 (秒) (Maximum Renewal (seconds)) 

プリンシパルの既存のチケットを更新できる最大期間 

アカウントを無効にする (Disable Account) 

有効にすると、プリンシパルがログインできません。何らかの理由でプリンシパルのアカウントを一時的に凍結するための簡単な方法です。 

パスワード変更を要求 (Require Password Change) 

有効にすると、プリンシパルの現在のパスワードが期限切れになります。したがって、ユーザーは kpasswd コマンドを使用して、新しいパスワードを作成しなければなりません。セキュリティが侵害された場合や、古いパスワードが変更されたかを確認する場合に便利です。

遅延チケットを許可 (Allow Postdated Tickets) 

有効にすると、プリンシパルは遅延チケットを取得できます。 

たとえば、数時間後に実行する必要のある cron ジョブでは、チケットの有効期間が短いために前もってチケットを取得できない場合などに、遅延チケットを使用する必要があります。 

転送可能チケットを許可 (Allow Forwardable Tickets) 

有効にすると、プリンシパルは転送可能なチケットを取得できます。 

転送可能チケットとは、シングルサインオンセッションを提供するためにリモートホストに転送されるチケットのことです。たとえば、転送可能チケットを使用していて、ftp や rsh を通じて自分自身を認証している場合は、別のパスワードを入力しなくても、他のサービス (NFS サービスなど) を利用できます。

更新可能チケットを許可 (Allow Renewable Tickets) 

有効にすると、プリンシパルは更新可能チケットを取得できます。 

プリンシパルは、更新可能なチケットの有効期間 (または有効期限) を自動的に延長できます。最初のチケットが期限切れになったあとに新しいチケットを取得する必要はありません。現在、チケットを更新できるサービスは NFS サービスだけです。 

代理チケットを許可 (Allow Proxiable Tickets) 

有効にすると、プリンシパルは代理チケットを取得できます。 

代理チケットとは、サービスがクライアントの代わりにクライアントの操作を実行するするために使用するチケットのことです。代理チケットを使用すると、サービスはクライアントの識別情報を使用して、別のサービスのチケットを取得できます。ただし、チケット許可チケットは取得できません。 

サービスチケットを許可 (Allow Service Tickets) 

有効にすると、サービスチケットをプリンシパルに発行できます。 

kadmin/hostname と changepw/hostname のプリンシパルにはサービスチケットを発行しないでください。そうすれば、これらのプリンシパルは KDC データベースを更新すること以外は許可されません。

TGT ベースの認証を許可 (Allow TGT-Based Authentication) 

有効にすると、サービスプリンシパルは別のプリンシパルにサービスを提供できます。つまり、KDC はサービスプリンシパルにサービスチケットを発行できます。 

この属性は、サービスプリンシパルだけに有効です。有効にしない場合には、サービスチケットはサービスプリンシパルには発行できません。 

認証の複写を許可 (Allow Duplicate Authentication) 

有効にすると、ユーザープリンシパルは他のユーザープリンシパルのサービスチケットを取得できます。 

この属性は、ユーザープリンシパルだけに有効です。このラジオボタンを有効にしない場合は、ユーザープリンシパルはサービスプリンシパルのサービスチケットは取得できますが、他のユーザープリンシパルのサービスチケットは取得できません。 

事前認証を要求 (Required Preauthentication) 

有効にすると、本当にプリンシパルがチケット許可チケット (TGT) を要求しているということがソフトウェアで認証されるまで、KDC は要求された TGT をプリンシパルに送信しません。この事前認証は通常、特別なパスワード (DES カードなど) で行われます。 

無効にすると、KDC は TGT をプリンシパルに送信する前にプリンシパルを事前認証しません。 

ハードウェア認証を要求 (Required Hardware Authentication) 

有効にすると、本当にプリンシパルがチケット許可チケット (TGT) を要求しているということがハードウェアで認証されるまで、KDC は要求された TGT をプリンシパルに送信しません。ハードウェア認証は Java リングリーダーなどで行うことができます。 

無効にすると、KDC は TGT をプリンシパルに送信する前にプリンシパルを事前認証しません。 

ポリシー名 (Policy Name) 

ポリシー名。ポリシーとは、プリンシパルのパスワードとチケットを管理するための規則の集合のことです。 

ポリシーを変更する場合、ポリシー名は変更できません。 

パスワードの最小長 (Minimum Password Length) 

プリンシパルのパスワードの最小長 

パスワードの最小クラス数 (Minimum Password Classes) 

プリンシパルのパスワードに必要な異なる文字タイプの最小数。 

たとえば、最小クラスの値が 2 の場合、パスワードには少なくとも 2 つの異なる文字タイプが必要です (たとえば、文字と数字。「hi2mom」など) 。この値が 3 の場合、パスワードには少なくとも 3 つの異なる文字タイプが必要です (たとえば、文字、数字、句読文字。「hi2mom!」など)。 

この値が 1 の場合、パスワードの文字タイプの数に制限は設定されません。 

過去に使用されたパスワード数 (Saved Password History) 

以前プリンシパルが使用し、再度使用できないパスワードの数 

パスワードの最小寿命 (秒) (Minimum Password Lifetime (seconds)) 

パスワードを変更可能となる最小時間 

パスワードの最大寿命 (秒) (Maximum Password Lifetime (seconds)) 

パスワードを変更せずに使用できる最大時間 

当該ポリシーを使用するプリンシパル (Principals Using This Policy) 

現在当該ポリシーが適用されているプリンシパルの数 (読み取り専用)