Référence de l'outil d'administration SEAM
La présente section contient des renseignements de référence au sujet de l'outil d'administration SEAM.
Description des panneaux de l'outil d'administration SEAM
La présente section fournit une description de tous les attributs de principal et de politique que l'outil SEAM permet de spécifier ou d'afficher. Les attributs sont organisés en fonction du panneau dans lequel ils sont affichés.
Tableau 5-4 Attributs du panneau de base du principal|
Attribut |
Description |
|---|---|
|
Nom de principal |
Nom du principal (partie primaire /instance d'un nom de principal complet). Un principal a une identité unique à laquelle le KDC peut attribuer des tickets. Si vous modifiez un principal, vous ne pouvez pas en changer le nom. |
|
Mot de passe |
Mot de passe du principal. Le bouton Générer un mot de passe aléatoire permet de créer un mot de passe aléatoire pour le principal. |
|
Politique |
Menu des politiques disponibles pour le principal. |
|
Le compte expire |
Date et heure d'expiration du compte du principal. Lorsque le compte expire, le principal ne peut plus obtenir de ticket d'octroi de tickets ni ouvrir de session. |
|
Dernière modification du principal |
Date de la dernière modification de l'information sur le principal. (En lecture seule) |
|
Modifié par |
Nom du dernier principal à avoir modifié le compte pour ce principal. (En lecture seule) |
|
Commentaires |
Commentaires sur le principal (par exemple, 'Compte temporaire'). |
Tableau 5-5 Attributs du panneau Détails du principal
|
Attribut |
Description |
|---|---|
|
Dernière réussite |
Date et heure de la dernière connexion réussie du principal. (En lecture seule) |
|
Dernier échec |
Date et heure du dernier échec de connexion du principal. (En lecture seule) |
|
Nombre d'échecs |
Nombre d'échecs de connexion du principal. (En lecture seule) |
|
Dernière modification du mot de passe |
Date et heure du dernier changement de mot de passe du principal. (En lecture seule) |
|
Le mot de passe expire |
Date et heure d'expiration prévue du mot de passe courant du principal. |
|
Version de la clé |
Numéro de version de la clé du principal ; normalement, il n'est changé que si l'intégrité du mot de passe a été compromise. |
|
Durée de vie maximum (en secondes) |
Durée de vie maximum d'un ticket attribué au nouveau principal (sans renouvellement). |
|
Renouvellement maximum (en secondes) |
Durée maximum de renouvellement d'un ticket existant pour le principal. |
Tableau 5-6 Attributs du panneau Indicateurs du principal
|
Attribut (boutons radio) |
Description |
|---|---|
|
Désactiver le compte |
Si cette case est cochée, le principal ne peut pas se connecter. Il est ainsi plus facile de désactiver temporairement un compte de principal pour une raison ou une autre. |
|
Exiger un changement de mot de passe |
Si cette case est cochée, le mot de passe courant du principal expire et force l'utilisateur à créer un nouveau mot de passe avec la commande kpasswd . Cette fonction s'avère utile lorsqu'il est nécessaire de changer le mot de passe en cas d'atteinte à la sécurité. |
|
Permettre les tickets postdatés |
Si cette case est cochée, le principal peut obtenir des tickets postdatés. Par exemple, il peut être nécessaire d'utiliser des tickets postdatés avec les tâches cron s'exécutant après les heures normales et ne qui ne peuvent obtenir de tickets à l'avance en raison de leur courte durée. |
|
Permettre les tickets transférables |
Si cette case est cochée, le principal peut obtenir des tickets transférables. Ces tickets transférables sont transférés à l'hôte distant pour autoriser une session à connexion unique. Par exemple, si vous utilisez des tickets transférables et que vous vous authentifiez via ftp ou rsh, d'autres services comme NFS sont disponibles sans que vous soyez invité à entrer un autre mot de passe. |
|
Permettre les tickets renouvelables |
Si cette case est cochée, le principal peut obtenir des tickets renouvelables. Un principal peut reporter automatiquement la date ou l'heure d'expiration d'un ticket renouvelable (au lieu d'obtenir un nouveau ticket après expiration). Actuellement, le service NFS est le seul qui est en mesure de renouveler des tickets. |
|
Permettre les tickets à proxy |
Si cette case est cochée, le principal peut obtenir des tickets à proxy. Un ticket à proxy peut être utilisé par un service, au nom d'un client, afin d'exécuter une opération pour ce client. Avec un ticket à proxy, un service peut adopter l'identité d'un client et obtenir un ticket d'un autre service, mais non un ticket d'octroi de tickets. |
|
Permettre les tickets de service |
Si cette case est cochée, des tickets de service peuvent être attribués au principal. Il ne faut toutefois pas autoriser l'émission de tickets de service aux principaux kadmin/nom_hôte et changepw/nom_hôte. De cette façon, ces principaux ne peuvent que mettre à jour la base de données KDC. |
|
Permettre l'authentification par ticket d'octroi de tickets |
Si cette case est cochée, le principal de service peut fournir des services à un autre principal. Plus précisément, le KDC peut émettre un ticket de service au principal de service. Cet attribut ne s'applique qu'aux principaux de service. Si cette case n'est pas cochée, des tickets de service ne peuvent pas être émis au principal de service. |
|
Permettre l'authentification en double |
Si cette case est cochée, le principal d'utilisateur peut obtenir des tickets de service pour d'autres principaux d'utilisateur. Cet attribut ne s'applique qu'aux principaux d'utilisateur. Si cette case n'est pas cochée, le principal d'utilisateur peut quand même obtenir des tickets de service pour des principaux de service, mais non pour d'autres principaux d'utilisateurs. |
|
Préauthentification requise |
Si cette case est cochée, le KDC n'envoie un ticket d'octroi de tickets demandé par le principal que s'il peut l'authentifier (via le logiciel) comme demandeur réel du ticket d'octroi de tickets. Cette préauthentification exige habituellement un mot de passe additionnel (provenant d'une carte DES, par exemple). Si cette case n'est pas cochée, le KDC n'a pas à authentifier le principal avant de lui envoyer un ticket d'octroi de tickets demandé. |
|
Exiger une authentification matérielle |
Si cette case est cochée, le KDC n'envoie un ticket d'octroi de tickets demandé par le principal que s'il peut l'authentifier (via le matériel) comme demandeur réel du ticket d'octroi de tickets. Ce mécanisme de préauthentification matérielle peut être un lecteur de bague Java ou un autre mécanisme semblable. Si cette case n'est pas cochée, le KDC n'a pas à authentifier le principal avant de lui envoyer un ticket d'octroi de tickets demandé. |
Tableau 5-7 Attributs du panneau de base de la politique
|
Attribut |
Description |
|---|---|
|
Nom de politique |
Nom de la politique. Une politique est un ensemble de règles régissant le mot de passe et les tickets d'un principal. Si vous modifiez une politique, vous ne pouvez pas en changer le nom. |
|
Longueur minimum du mot de passe |
Longueur minimum du mot de passe du principal. |
|
Classes minimum de caractères du mot de passe |
Le nombre minimum de types de caractères différents que doit obtenir le mot de passe du principal. La valeur 2, par exemple, signifie que le mot de passe doit contenir au moins deux types de caractères différents, tels des lettres et des chiffres (jupiter6). La valeur 3 signifie que le mot de passe doit contenir au moins trois types de caractères différents, tels des lettres, des chiffres et un signe de ponctuation (jupiter6!), et ainsi de suite. La valeur 1 n'établit en fait aucune restriction quant aux différents types de caractères dans le mot de passe. |
|
Historique des mots de passe sauvegardés |
Nombre de mots de passe utilisés antérieurement par le principal et qui ne peuvent pas être réutilisés. |
|
Durée minimum du mot de passe (en secondes) |
Durée minimum d'utilisation du mot de passe avant qu'il soit possible de le changer. |
|
Durée maximum du mot de passe (en secondes) |
Durée maximum d'utilisation du mot de passe avant qu'il doive être changé. |
|
Principaux utilisant cette politique |
Nombre de principaux auxquels cette politique s'applique actuellement. (En lecture seule) |
Utilisation de l'outil d'administration SEAM avec les privilèges d'administration Kerberos restreints
Toutes les fonctions de l'outil d'administration SEAM sont disponibles lorsque votre principal admin détient tous les privilèges d'administration de la base de données Kerberos. Il est toutefois possible de restreindre l'étendue des privilèges afin de n'autoriser que l'affichage de la liste des principaux ou la modification du mot de passe d'un principal. Même avec des privilèges d'administration Kerberos restreints, vous pouvez toujours utiliser l'outil d'administration SEAM ; cependant, certains éléments de l'outil changent en fonction des privilèges d'administration Kerberos que vous ne détenez pas. Le Tableau 5-8 permet de voir la relation entre l'outil SEAM et vos privilèges d'administration Kerberos.
L'aspect visuel le plus important du changement de l'outil SEAM apparaît lorsque vous ne détenez pas le privilège de liste. En l'absence ce dernier, le panneau Liste n'affiche pas la liste de principaux et des politiques que vous voulez manipuler. Vous devez plutôt utiliser le champ Nom des panneaux Liste pour spécifier le principal ou la politique sur lesquels vous désirez travailler.
Si vous ouvrez une session dans l'outil SEAM et que vous ne détenez pas suffisamment de privilèges pour effectuer les tâches nécessaires, le message suivant apparaît, puis vous êtes ramené à la fenêtre de connexion :
Privilèges insuffisants pour utiliser gkadmin : ADMCIL. Essayez un autre principal. |
Pour changer les privilèges d'un principal et lui permettre d'administrer la base de données Kerberos, voyez la section "Comment modifier les privilèges d'administration Kerberos".
Tableau 5-8 Utilisation de l'outil SEAM avec privilèges d'administration Kerberos restreints|
Si vous ne détenez pas ce privilège... |
L'outil SEAM change comme suit... |
|---|---|
|
a (ajouter) |
Les boutons Créer nouveau et Dupliquer sont désactivés dans les panneaux Liste des principaux et Liste des politiques. Sans le privilège d'ajout, la création et la duplication de principaux ou de politiques ne sont pas autorisées. |
|
d (supprimer) |
Le bouton Supprimer est désactivé dans les panneaux Liste des principaux et Liste des politiques. Sans le privilège de suppression, la suppression de principaux ou de politiques n'est pas autorisée. |
|
m (modifier) |
Le bouton Modifier est désactivé dans les panneaux Liste de principaux et Liste des politiques. Sans le privilège de modification, la modification de principaux ou de politiques n'est pas autorisée. De plus, lorsque le bouton Modifier est désactivé, la modification du mot de passe d'un principal n'est pas autorisée, même si vous détenez le privilège de changer le mot de passe. |
|
c (changer le mot de passe) |
Le champ Mot de passe du panneau Attributs de base du principal est en lecture seule, et son contenu ne peut pas être modifié. Sans le privilège de changer le mot de passe, la modification du mot de passe d'un principal n'est pas autorisée. Veuillez noter que, même si vous détenez le privilège de changer le mot de passe, vous devez également détenir le privilège de modification pour changer le mot de passe d'un principal. |
|
i (interrogation de la base de données) |
Les boutons Modifier et Dupliquer sont désactivés dans les panneaux Liste de principaux et Liste des politiques. Sans le privilège d'interrogation, la modification et la duplication de principaux ou de politiques ne sont pas autorisées. De plus, lorsque le bouton Modifier est désactivé, la modification du mot de passe d'un principal n'est pas autorisée, même si vous détenez le privilège de changer le mot de passe. |
|
l (répertorier) |
La liste des principaux et des politiques dans les panneaux de liste est désactivée. Sans le privilège de liste, vous devez spécifier le nom du principal ou de la politique voulu dans le champ Nom des panneaux de liste. |
- © 2010, Oracle Corporation and/or its affiliates