SEAM 管理ツール
SEAM 管理ツールは、Kerberos のプリンシパルとポリシーを保守する対話的なグラフィカルユーザーインタフェース (GUI) です。kadmin コマンドと同じ機能を提供しますが、keytab の管理はサポートしていません。keytab を管理するには kadmin コマンドを使用する必要があります (「keytab の管理」を参照)。
kadmin コマンドと同様に、SEAM 管理ツール (以下、SEAM ツールと略す) は Kerberos 認証と暗号化 RPC を使用して、ネットワーク上のどこからでもセキュリティ上も問題なく操作できます。次に、SEAM ツールを使用して実行できることを示します。
-
デフォルト値または既存のプリンシパルに基づいて、新しいプリンシパルを作成する
-
既存のポリシーに基づいて、新しいポリシーを作成する
-
プリンシパルのコメントを追加する
-
新しいプリンシパルを作成するためのデフォルト値を設定する
-
ツールを終了せずに、別のプリンシパルとしてログインする
-
プリンシパルとポリシーのリストを出力および保存する
-
プリンシパルとポリシーのリストを表示および検索する
また、SEAM ツールはコンテキストヘルプや一般的なオンラインヘルプも提供します。
次の作業マップには、SEAM ツールで実行できるさまざまな作業の参照箇所を示しています。
また、SEAM ツールで指定または表示できるプリンシパルとポリシーのすべての属性については、「SEAM ツールパネルの説明」を参照してください。
SEAM ツールと同等な機能を実行できるコマンド
この節では、SEAM ツールと同じ機能を提供し、X Window システムを実行しなくても使用できる kadmin コマンドのリストを示します。この章で説明するほとんどの手順では SEAM ツールを使用しますが、同等なコマンド行の例も示します。
表 5-1 SEAM ツールと同等なコマンド行|
手順 |
kadmin コマンド |
|---|---|
|
プリンシパルのリストを表示する |
list_principals または get_principals |
|
プリンシパルの属性を表示する |
get_principal |
|
新しいプリンシパルを作成する |
add_principal |
|
プリンシパルを複製する |
同等なコマンド行はありません。 |
|
プリンシパルを変更する |
modify_principal、change_password |
|
プリンシパルを削除する |
delete_principal |
|
新しいプリンシパルを作成するためのデフォルトを設定する |
同等なコマンド行はありません。 |
|
ポリシーのリストを表示する |
list_policies または get_policies |
|
ポリシーの属性を表示する |
get_policy |
|
新しいポリシーを作成する |
add_policy |
|
ポリシーを変更する |
modify_policy |
|
ポリシーを複製する |
同等なコマンド行はありません。 |
|
ポリシーを削除する |
delete_policy |
SEAM ツールで変更されるファイル
SEAM ツールが変更する唯一のファイルは $HOME/.gkadmin ファイルです。このファイルには、新しいプリンシパルを作成するためのデフォルト値が入っています。このファイルを更新するには、「編集 (Edit)」メニューから「プロパティ (Properties)」を選択します。
SEAM ツールの印刷機能とオンラインヘルプ機能
SEAM ツールには印刷機能とオンラインヘルプ機能があります。次に、「印刷 (Print)」メニューからプリンタまたはファイルに送信できるものを示します。
-
指定したマスター KDC 上で利用可能なプリンシパルのリスト
-
指定したマスター KDC 上で利用可能なポリシーのリスト
-
現在選択または読み込んでいるプリンシパル
-
現在選択または読み込んでいるポリシー
「ヘルプ (Help)」メニューからは、コンテキストヘルプと一般的なヘルプを利用できます。「ヘルプ (Help)」メニューから「コンテキストヘルプ (Context-Sensitive Help)」を選択すると、「コンテキストヘルプ (Context-Sensitive Help)」ウィンドウが表示され、SEAM ツールがヘルプモードに切り替わります。ヘルプモードでは、ウィンドウ上の任意のフィールド、ラベル、またはボタンをクリックすると、その項目のヘルプが「ヘルプ (Help)」ウィンドウに表示されます。SEAM ツールを通常のモードに戻すには、「ヘルプ (Help)」ウィンドウの「消去 (Dismiss)」をクリックします。
「ヘルプの目次 (Help Contents)」を選択すると HTML ブラウザが開いて、この章で説明されている概要や作業情報への参照項目が表示されます。
SEAM ツールで大きなリストを扱うには
プリンシパルとポリシーの数が膨大なサイトでは、SEAM ツールがプリンシパルとポリシーのリストを読み込む時間および表示する時間が次第に長くなり、SEAM ツールによる作業効率が悪くなります。これを回避する方法はいくつかあります。
まず、SEAM ツールがリストを読み込まないようにすれば、リストを読み込む時間が必要なくなります。このオプションを設定するには、「編集 (Edit)」メニューから「プロパティ (Properties)」を選択して、「リストを表示 (Show Lists)」フィールドの選択を解除します。もちろん、SEAM ツールがリストを読み込まなければ、リストは表示されず、リストパネルでプリンシパルやポリシーを選択できなくなります。その代わりに、新しい「名前 (Name)」フィールドにプリンシパルやポリシーの名前を入力してから、実行したい操作を選択します。基本的に名前を入力するのはリストから項目を選択することと同じです。
大きなリストを処理するもう 1 つの方法は、リストをキャッシュに書き込むことです。事実、SEAM ツールのデフォルト動作でも、限られた時間の間リストをキャッシュに書き込むように設定されています。最初は SEAM ツールもリストをキャッシュに書き込みます。しかし、それ以降は、もう一度リストを読み込まなくても、そのキャッシュを使用できます。したがって、サーバーからリストを読み込む必要がなくなり、時間を短縮できます。
リストをキャッシュに書き込むように設定するときも、「編集 (Edit)」メニューから「プロパティ (Properties)」を選択します。キャッシュには 2 つの設定があります。永続的にリストをキャッシュに書き込む方法と、SEAM ツールがサーバーからキャッシュにリストを読み込む時間制限を指定する方法です。
リストをキャッシュに書き込んだ場合でも、リストパネルでプリンシパルやポリシーを選択できます。したがって、SEAM ツールを使用する上では何の影響もありません。また、キャッシュを使用した場合、他のユーザーが行なった変更は表示されませんが、ユーザー本人の変更はサーバーとキャッシュの両方にあるリストで更新されるため、ユーザー本人が行なった変更は最新の情報が表示されます。さらに、キャッシュを更新することによって他のユーザーの変更を表示し、最新のリストのコピーを参照したい場合、「再表示 (Refresh)」メニューを使用すれば、いつでもサーバーからキャッシュを更新できます。
SEAM ツールを起動するには
-
gkadmin コマンドを使用して、SEAM ツールを起動します。
$ /usr/krb5/sbin/gkadmin
-
デフォルト値を使用したくない場合、新しい値を指定します。
「ログイン (Login)」ウィンドウは自動的にデフォルト値をフィールドに表示します。デフォルトのプリンシパル名は、USER 環境変数に設定されているユーザーの現在の識別情報に /admin が追加されたものになります (つまり、username/admin)。デフォルトの「レルム (Realm)」と「マスター KDC (Master KDC)」のフィールドは、/etc/krb5/krb5.conf ファイルから選択されます。デフォルト値に戻したい場合は、「やり直し (Start Over)」をクリックします。
注 -プリンシパル名が実行できる管理操作は、Kerberos の ACL ファイル /etc/krb5/kadm5.acl によって管理されます。制限される特権については、「制限された Kerberos 管理特権で SEAM ツールを使用する」を参照してください。
-
指定したプリンシパル名のパスワードを入力します。
-
「了解 (OK)」をクリックします。
次のウィンドウが表示されます。
- © 2010, Oracle Corporation and/or its affiliates