Administration des principaux

La présente section fournit les directives pas à pas d'administration des principaux avec l'outil d'administration SEAM. Elle contient des exemples d'équivalences de ligne de commande, si elles existent, faisant appel à la commande kadmin, à la suite de chaque procédure.

Tableau des tâches d'administration des principaux

Création automatique de nouveaux principaux

Bien qu'il soit facile d'utiliser l'outil d'administration SEAM, celui-ci n'autorise pas la création automatique de nouveaux principaux. Un tel mode de création s'avère particulièrement utile lorsque vous ne disposez que de peu de temps pour ajouter 10 ou même 100 nouveaux principaux. Toutefois, vous obtiendrez les mêmes résultats avec la commande kadmin.local dans un script Shell Bourne.

Voici un exemple de ligne de script Shell :

sed -e 's/^\(.*\)$/ank +needchange -pw \1 \1/' < nomsprinc |
                    time /usr/krb5/sbin/kadmin.local> /dev/null

Cet exemple a été divisé en deux lignes pour le rendre plus lisible. Le script effectue la lecture des noms et des mots de passe de principaux dans un fichier appelé nomsprinc et les ajoute à la base de données Kerberos. Vous devez d'abord créer le fichier nomsprinc contenant le nom et les mots de passe du principal sur chaque ligne, séparés par un ou plusieurs espaces. L'option +needchange permet de configurer le principal de telle sorte que l'utilisateur doive entrer un nouveau mot de passe à l'invite lorsqu'il se connecte la première fois au principal, ce qui permet d'éliminer tout risque de sécurité associé aux mots de passe du fichier nomsprinc.

Il ne s'agit là que d'un simple exemple. Vous pouvez élaborer des scripts plus complexes, par exemple utiliser les données contenues dans le service de nom afin d'obtenir la liste des noms d'utilisateur associés aux noms de principal. Vos besoins au niveau de votre site et vos connaissances des scripts déterminent les actions effectuées.

Comment afficher la liste des principaux

Cette procédure est suivie d'un exemple d'équivalence de ligne de commande.

1. Au besoin, démarrez l'outil d'administration SEAM.

   Voir "Comment démarrer l'outil d'administration SEAM" pour de plus amples renseignements.

2. Cliquez sur l'onglet Principaux.

   La liste des principaux apparaît.

   

3. Pour afficher un principal particulier ou une sous-liste de principaux, entrez une chaîne de filtrage dans le champ Modèle de filtrage et appuyez sur Entrée. Si le filtrage s'effectue correctement, la liste des principaux filtrés apparaît.

   La chaîne de filtrage doit comporter au moins un caractère. Étant donné que le filtrage tient compte des majuscules et des minuscules, vous devez la composer avec les caractères majuscules et minuscules appropriés. Par exemple, si vous entrez la chaîne de filtrage ge, le filtre ne permettra d'afficher que les principaux dont le nom comporte la chaîne ge (par exemple, george ou pige).

   Pour afficher la liste intégrale des principaux, cliquez sur Effacer le filtre.

Exemple--Affichage de la liste des principaux (ligne de commande)

L'exemple suivant utilise la commande list_principals de kadmin, qui permet d'afficher la liste de tous les principaux correspondant à test*. La commande list_principals autorise l'emploi de caractères génériques.

kadmin: list_principals test*
test1@ACME.COM test2@ACME.COM 
kadmin: quit

Comment afficher les attributs d'un principal

Cette procédure est suivie d'un exemple d'équivalence de ligne de commande.

1. Au besoin, démarrez l'outil d'administration SEAM.

   Voir "Comment démarrer l'outil d'administration SEAM" pour de plus amples renseignements.

2. Cliquez sur l'onglet Principaux.

3. Dans la liste, sélectionnez le principal que vous voulez afficher et cliquez sur Modifier.

   Le panneau Attributs de base du principal, contenant certains attributs du principal, apparaît.

4. Cliquez sur Suivant pour examiner tous les attributs du principal.

   Les renseignements sur les attributs se trouvent dans trois fenêtres. Choisissez Aide contextuelle dans le menu Aide pour obtenir de l'information sur les divers attributs affichés dans l'une ou l'autre des fenêtres, ou consultez "Description des panneaux de l'outil d'administration SEAM" pour une description de tous les attributs du principal.

5. Cliquez sur Annuler lorsque vous avez terminé.

Exemple--Affichage des attributs d'un principal

L'exemple suivant présente la première fenêtre lorsque vous affichez le principal jdb/admin.

Exemple--Affichage des attributs d'un principal (ligne de commande)

L'exemple suivant utilise la commande get_principal de kadmin, qui permet d'afficher les attributs du principal jdb/admin.

kadmin: getprinc jdb/admin
Principal: jdb/admin@ACME.COM
Date d'expiration : Ven Aou 25 17:19:05 PDT 2000 
Dernier changement du mot de passe : [jamais]
Date d'expiration du mot de passe : Mer Avr 14 11:53:10 PDT 1999
Durée maximum des tickets : 1 jour 16:00:00 
Durée de vie renouvelable maximum : 1 jour 16:00:00
Dernière modification : Jeu Jan 14 11:54:09 PST 1999 (admin/admin@ACME.COM)
Dernière authentification réussie : [jamais]
Dernier échec d'authentification : [jamais]
Nombre de mots de passe rejetés : 0
Nombre de clés: 1 
Clé: numéro de version 1, mode DES cbc avec CRC-32, pas d'attributs SALT
Attributs : REQUIRES_HW_AUTH
Politique : [aucun]
kadmin: quit

Comment créer un nouveau principal

Cette procédure est suivie d'un exemple d'équivalence de ligne de commande.

1. Au besoin, démarrez l'outil d'administration SEAM.

   Voir "Comment démarrer l'outil d'administration SEAM" pour de plus amples renseignements.

   ---

   Remarque :

   Si vous créez un nouveau principal pour lequel une nouvelle politique est nécessaire, vous devez d'abord créer cette dernière. Allez à "Comment créer une nouvelle politique".

   ---

2. Cliquez sur l'onglet Principaux.

3. Cliquez sur Nouveau.

   Le panneau Attributs de base du principal, contenant certains attributs du principal, apparaît.

4. Entrez un nom et un mot de passe de principal.

   Le nom et le mot de passe du principal sont obligatoires.

5. Entrez les valeurs des attributs du principal et cliquez sur Suivant pour entrer d'autres attributs.

   Trois fenêtres contiennent les renseignements sur les attributs. Choisissez Aide contextuelle dans le menu Aide pour obtenir de l'information sur les divers attributs affichés dans l'une ou l'autre des fenêtres, ou consultez "Description des panneaux de l'outil d'administration SEAM" pour la description de tous les attributs de principal.

6. Cliquez sur Enregistrer pour enregistrer le principal ou cliquez sur le bouton Terminé du dernier panneau.

7. Au besoin, définissez les privilèges d'administration Kerberos du nouveau principal dans le fichier /etc/krb5/kadm5.acl.

   Voir "Comment modifier les privilèges d'administration Kerberos" pour de plus amples renseignements.

Exemple--Création d'un nouveau principal

L'exemple suivant montre le panneau Attributs de base du principal au moment de la création d'un nouveau principal appelé pak. A ce stade-ci, la politique a été réglée à testuser.

Exemple--Création d'un nouveau principal (ligne de commande)

L'exemple ci-dessous utilise la commande add_principal de kadmin, qui permet de créer un nouveau principal appelé pak. La politique du principal est réglée à testuser.

kadmin: add_principal -policy testuser pak
Entrez le mot de passe du principal "pak@ACME.COM": <tapez le mot de passe>
Entrez de nouveau le mot de passe du principal "pak@ACME.COM":  <tapez de nouveau le mot de passe>
Principal "pak@ACME.COM" créé.
kadmin: quit

Comment dupliquer un principal

Cette procédure décrit comment utiliser tous les attributs d'un principal existant, ou une partie de ceux-ci, afin de créer un nouveau principal. Il n'existe pas d'équivalence de ligne de commande pour cette procédure.

1. Au besoin, démarrez l'outil d'administration SEAM.

   Voir "Comment démarrer l'outil d'administration SEAM" pour de plus amples renseignements.

2. Cliquez sur l'onglet Principaux.

3. Dans la liste, sélectionnez le principal que vous voulez dupliquer et cliquez sur le bouton Dupliquer.

   Le panneau Attributs de base du principal apparaît. Tous les attributs du principal sélectionné sont dupliqués, sauf les champs vides Nom du principal et Mot de passe.

4. Entrez un nom et un mot de passe de principal.

   Le nom et le mot de passe du principal sont obligatoires. Si vous voulez créer un double exact du principal sélectionné, cliquez sur Enregistrer et passez directement à la dernière étape.

5. Attribuez différentes valeurs aux attributs du principal et cliquez sur Suivant pour préciser d'autres attributs.

   Trois fenêtres contiennent les renseignements sur les attributs. Choisissez Aide contextuelle dans le menu Aide pour obtenir de l'information sur les divers attributs affichés dans chaque fenêtre, ou consultez "Description des panneaux de l'outil d'administration SEAM" pour la description de tous les attributs de principal.

6. Cliquez sur Enregistrer pour enregistrer le principal ou cliquez sur le bouton Terminé du dernier panneau.

7. Au besoin, définissez les privilèges d'administration Kerberos du principal dans le fichier /etc/krb5/kadm5.acl.

   Voir "Comment modifier les privilèges d'administration Kerberos" pour de plus amples renseignements.

Comment modifier un principal

Cette procédure est suivie d'un exemple d'équivalence de ligne de commande.

1. Au besoin, démarrez l'outil d'administration SEAM.

   Voir "Comment démarrer l'outil d'administration SEAM" pour de plus amples renseignements.

2. Cliquez sur l'onglet Principaux.

3. Dans la liste, sélectionnez le principal que vous voulez modifier et cliquez sur Modifier.

   Le panneau Attributs de base du principal, contenant certains des attributs du principal, apparaît.

4. Modifiez les attributs du principal et cliquez sur Suivant pour modifier d'autres attributs.

   Trois fenêtres contiennent les renseignements sur les attributs. Choisissez Aide contextuelle dans le menu Aide pour obtenir de l'information sur les divers attributs affichés dans chaque fenêtre, ou consultez "Description des panneaux de l'outil d'administration SEAM" pour la description de tous les attributs de principal.

   ---

   Remarque :

   Vous ne pouvez pas modifier le nom d'un principal. Pour renommer un principal, vous devez d'abord le dupliquer, donner un nom au double, enregistrer ce dernier et enfin supprimer le principal original.

   ---

5. Cliquez sur Enregistrer pour enregistrer le principal ou cliquez sur le bouton Terminé du dernier panneau.

6. Modifiez les privilèges d'administration Kerberos du principal dans le fichier /etc/krb5/kadm5.acl.

   Voir "Comment modifier les privilèges d'administration Kerberos" pour de plus amples renseignements.

Exemple--Modification du mot de passe d'un principal (ligne de commande)

L'exemple suivant utilise la commande change_password de kadmin, qui modifie le mot de passe du principal jdb. La commande change_password ne vous permet pas de remplacer ce mot de passe par un autre faisant partie de l'historique des mots de passe du principal.

kadmin: change_password jdb
Entrez le mot de passe du principal "jdb": <tapez le nouveau mot de passe>
Entrez de nouveau le mot de passe du principal "jdb": <tapez de nouveau le mot de passe>
Mot de passe de "jdb@ACME.COM" modifié.
kadmin: quit

Pour modifier d'autres attributs d'un principal, utilisez la commande modify_principal de kadmin.

Comment supprimer un principal

Cette procédure est suivie d'un exemple d'équivalence de ligne de commande.

1. Au besoin, démarrez l'outil d'administration SEAM.

   Voir "Comment démarrer l'outil d'administration SEAM" pour de plus amples renseignements.

2. Cliquez sur l'onglet Principaux.

3. Dans la liste, indiquez le principal que vous voulez supprimer et cliquez sur Supprimer.

   Le principal est supprimé lorsque vous en confirmez la suppression.

4. Supprimez le principal du fichier ACL Kerberos, /etc/krb5/kadm5.acl.

   Voir "Comment modifier les privilèges d'administration Kerberos" pour de plus amples renseignements.

Exemple--Suppression d'un principal (ligne de commande)

L'exemple ci-dessous utilise la commande delete_principal de kadmin, qui supprime le principal jdb.

kadmin: delete_principal pak
Voulez-vous vraiment supprimer le principal "pak@ACME.COM"? (oui/non): oui
Principal "pak@ACME.COM" supprimé.
Assurez-vous d'avoir supprimé ce principal dans toutes les listes de contrôle d'accès avant de le 
réutiliser.
kadmin: quit

Comment définir des valeurs par défaut pour la création de nouveaux principaux

Il n'existe pas d'équivalence de ligne de commande pour cette procédure.

1. Au besoin, démarrez l'outil d'administration SEAM.

   Voir "Comment démarrer l'outil d'administration SEAM" pour de plus amples renseignements.

2. Choisissez Propriétés dans le menu Edition.

   La fenêtre Propriétés apparaît.

   

3. Sélectionnez les valeurs par défaut qui doivent être employées au moment de créer de nouveaux principaux.

   Choisissez Aide contextuelle dans le menu Aide pour obtenir de l'information sur les divers attributs affichés dans chaque fenêtre,

4. Cliquez sur Enregistrer.

Comment modifier les privilèges d'administration Kerberos

Votre site contient probablement de nombreux principaux d'utilisateurs, mais vous préférez sans doute qu'un petit nombre d'entre eux soient en mesure d'administrer la base de données Kerberos. Ces privilèges d'administration de la base de données Kerberos sont établis par le fichier de liste de contrôle d'accès Kerberos (ACL), kadm5.acl(4). Le fichier kadm5.acl vous permet d'accorder ou de refuser les privilèges à certaines personnes ; vous pouvez également utiliser le caractère générique '*' dans le nom du principal pour préciser les privilèges accordés à des groupes de principaux.

1. Adoptez l'identité de superutilisateur sur le KDC maître.

2. Éditez le fichier /etc/krb5/kadm5.acl.

   Toute entrée dans le fichier kadm5.acl doit respecter le format suivant :

   principal privilèges [principal_cible]

   principal	Le principal auquel sont accordés les privilèges. Le nom du principal peut contenir un caractère générique '*' dans n'importe quelle partie qui le compose, ce qui s'avère utile pour accorder le même privilège à un groupe de principaux. Par exemple, si vous voulez préciser tous les principaux dont le nom comporte l'instance admin , vous devez utiliser */admin@secteur. Veuillez noter que l'usage habituel d'une instance admin est d'accorder des privilèges distincts (comme l'accès à la base de données Kerberos au niveau administratif) à un principal Kerberos distinct. Par exemple, l'utilisateur jdb pourrait détenir un principal, appelé jdb/admin, qu'il peut utiliser à des fins administratives. De cette façon, jdb obtient des tickets jdb/admin uniquement au moment où il a réellement besoin d'utiliser ces privilèges.
   privilèges	Permet de préciser les opérations qu'un principal est autorisé ou non à effectuer. Il s'agit d'une chaîne composée d'un ou de plusieurs caractères, indiqués ci-dessous, ou de leur contrepartie en majuscules. Si le caractère est entré en majuscule (ou qu'il n'est pas précisé), l'opération est refusée. Par contre, si le caractère est entré en minuscule, l'opération est autorisée.
   	a	Autorise [ou non] l'ajout de principaux ou de politiques.
   	d	Autorise [ou non] la suppression de principaux ou de politiques.
   	m	Autorise [ou non] la modification de principaux ou de politiques.
   	c	Autorise [ou non] la modification des mots de passe de principaux.
   	i	Autorise [ou non] les interrogations dans la base de données.
   	l	Autorise [ou non] l'affichage de listes de principaux ou de politiques de la base de données.
   	x ou *	Accorde tous les privilèges (admcil).
   principal_cible	Lorsque ce champ comporte le nom d'un principal, les privilèges sont accordés au principal uniquement lorsqu'il effectue des opérations sur le principal_cible. Le nom du principal peut contenir le caractère générique '*' dans l'une ou l'autre des parties qui le composent, ce qui facilite le regroupement de principaux.

Exemple--Modification des privilèges d'administration Kerberos

L'entrée suivante du fichier kadm5.acl permet d'accorder tous les privilèges sur la base de données aux principaux du secteur ACME.COM comportant l'instance admin.

*/admin@ACME.COM *

L'entrée suivante du fichier kadm5.acl accorde au principal jdb@ACME.COM le privilège d'ajouter, de répertorier et d'interroger les principaux comportant l'instance root.

jdb@ACME.COM ali */root@ACME.COM