Manuale di Sun Enterprise Authentication Mechanism

Capitolo 5 Amministrazione dei nomi principali e dei criteri

Questo capitolo contiene le procedure per la gestione dei nomi principali e dei criteri ad essi associati. Spiega inoltre come gestire la tabella di chiavi (keytab) di un host.

Il capitolo è destinato agli utenti che debbano amministrare i nomi principali e i criteri, la sua lettura presuppone una buona conoscenza dell'uso dei nomi principali e dei criteri e delle relative procedure di pianificazione. A tale riguardo, vedere rispettivamente il Capitolo 1 e il Capitolo 2.

Qui di seguito sono elencate le istruzioni descritte in questo capitolo.

Metodi per amministrare i nomi principali e i criteri

Il database di Kerberos residente sul KDC master contiene tutti i nomi principali Kerberos del settore, le loro password, i criteri e altre informazioni di amministrazione. Per creare ed eliminare i nomi principali, e modificare i loro attributi, si possono usare i comandi kadmin(1M) o gkadmin(1M).

Il comando kadmin offre un'interfaccia interattiva per la manutenzione dei nomi principali, dei criteri e delle tabelle di chiavi di Kerberos. Vi sono due versioni del comando kadmin: kadmin, che utilizza l'autenticazione Kerberos per operare in modo sicuro da qualunque punto della rete, e kadmin.local, che deve essere eseguito direttamente sul KDC master. Ad eccezione del fatto che kadmin utilizza Kerberos per autenticare l'utente, le funzionalità delle due versioni sono identiche. La versione locale è necessaria per consentire la configurazione della parte del database che permetta poi di utilizzare la versione remota.

SEAM contiene anche lo strumento Amministrazione SEAM, gkadmin, un programma grafico interattivo che offre essenzialmente le stesse funzionalità del comando kadmin. Per maggiori informazioni, vedere "Amministrazione SEAM".

Amministrazione SEAM

L'Amministrazione SEAM è uno strumento grafico interattivo che facilita la manutenzione dei nomi principali e dei criteri di Kerberos. Offre essenzialmente le stesse funzionalità del comando kadmin, ma non supporta la gestione delle tabelle di chiavi. Per l'amministrazione delle tabelle di chiavi è necessario utilizzare il comando kadmin, descritto in "Amministrazione delle tabelle di chiavi".

Come il comando kadmin, l'Amministrazione SEAM utilizza l'autenticazione Kerberos ed RPC cifrate per operare in modo sicuro da qualunque punto della rete. L'Amministrazione SEAM permette di:

Creare nuovi nomi principali basati sui valori predefiniti o sui nomi principali esistenti
Creare nuovi criteri basati su quelli esistenti
Aggiungere commenti per i nomi principali
Configurare valori predefiniti per la creazione di nuovi nomi principali
Eseguire il login con un altro nome principale senza uscire dall'applicazione
Stampare o salvare l'elenco dei nomi principali e dei criteri
Visualizzare ed eseguire ricerche negli elenchi dei nomi principali e dei criteri

L'Amministrazione SEAM dispone inoltre di una guida in linea contestuale e generale.

Le tabelle seguenti indicano dove trovare le istruzioni per le varie operazioni eseguibili con l'Amministrazione SEAM:

Inoltre, la sezione "Descrizione delle finestre dell'Amministrazione SEAM" fornisce una descrizione degli attributi dei nomi principali e dei criteri che è possibile specificare o visualizzare nell'Amministrazione SEAM.

Equivalenti dalla riga di comando delle operazioni eseguibili con l'Amministrazione SEAM

Questa sezione elenca i comandi kadmin che offrono le stesse funzionalità dell'Amministrazione SEAM e che possono essere utilizzati senza eseguire un sistema X Window. Benché la maggior parte delle procedure descritte in questo capitolo facciano riferimento all'Amministrazione SEAM, molte includono esempi relativi all'utilizzo dalla riga di comando.

Tabella 5-1 Equivalenti dalla riga di comando delle operazioni eseguibili con l'Amministrazione SEAM


Procedura	Comando `kadmin`
Visualizzazione dell'elenco dei nomi principali	`list_principals` o `get_principals`
Visualizzazione degli attributi di un nome principale	`get_principal`
Creazione di un nuovo nome principale	`add_principal`
Duplicazione di un nome principale	Nessun equivalente
Modifica di un nome principale	`modify_principal` e `change_password`
Eliminazione di un nome principale	`delete_principal`
Configurazione delle impostazioni predefinite per la creazione di nuovi nomi principali	Nessun equivalente
Visualizzazione dell'elenco dei criteri	`list_policies` o `get_policies`
Visualizzazione degli attributi dei criteri	`get_policy`
Creazione di nuovi criteri	`add_policy`
Modifica dei criteri	`modify_policy`
Duplicazione dei criteri	Nessun equivalente
Eliminazione dei criteri	`delete_policy`

File modificati dall'Amministrazione SEAM

L'unico file che viene modificato dall'Amministrazione SEAM è $HOME/.gkadmin. Esso contiene i valori predefiniti per la creazione di nuovi nomi principali e può essere aggiornato scegliendo Proprietà dal menu Modifica.

Funzioni di stampa e guida in linea dell'Amministrazione SEAM

L'Amministrazione SEAM dispone di una funzione di stampa e di una guida in linea. Dal menu Stampa, è possibile inviare a una stampante o a un file:

L'elenco dei nomi principali del KDC master specificato
L'elenco dei criteri del KDC master specificato
Il nome principale correntemente selezionato o caricato
I criteri correntemente selezionati o caricati

Dal menu Guida, è possibile richiamare una guida contestuale o una guida generale. Scegliendo "Guida contestuale" dal menu, viene aperta la finestra corrispondente e lo strumento passa alla modalità di guida. In questa modalità, facendo clic su un campo, un'etichetta o un pulsante della finestra viene visualizzata la guida su quell'elemento. Per tornare alla modalità normale dell'Amministrazione SEAM, fare clic su Chiudi nella finestra della guida.

Scegliendo "Indice della guida", viene avviato un browser HTML con puntatori alle informazioni generali e alle procedure contenute in questo capitolo.

Gestione di elenchi di grandi dimensioni nell'Amministrazione SEAM

Quando si accumula un grande numero di nomi principali e di criteri, il tempo necessario per caricare i relativi elenchi nell'Amministrazione SEAM diventa sempre maggiore, e questo può rallentare la produttività degli utenti. Per risolvere il problema vi sono diverse possibilità.

In primo luogo, è possibile eliminare completamente il problema disabilitando l'operazione di caricamento degli elenchi nell'Amministrazione SEAM. A tale scopo, scegliere Proprietà dal menu Modifica e deselezionare l'opzione "Mostra elenchi". Naturalmente, se non si caricano gli elenchi, non sarà possibile visualizzarli e usarli per la selezione dei nomi principali e dei criteri. Occorrerà invece specificare direttamente il nome principale o il criterio nel campo Nome e quindi selezionare l'operazione da eseguire. Essenzialmente, l'inserimento di un nome equivale alla selezione di un elemento dall'elenco.

Un altro modo per gestire gli elenchi di grandi dimensioni è quello di inserirli in una cache. Di fatto, l'inserimento degli elenchi in una cache per un certo periodo di tempo è il comportamento predefinito dell'Amministrazione SEAM. All'inizio lo strumento deve ugualmente caricare gli elenchi nella cache, ma successivamente può usare direttamente la cache invece di caricare gli elenchi nuovamente. Questo elimina la necessità di caricare ripetutamente gli elenchi dal server, che è l'operazione che richiede più tempo.

Anche questa opzione si abilita scegliendo Proprietà dal menu Modifica. Vi sono due impostazioni disponibili. Si può scegliere di inserire gli elenchi nella cache in modo permanente, oppure si può specificare un limite di tempo oltre il quale lo strumento dovrà ricaricare gli elenchi dal server.

La memorizzazione degli elenchi nella cache permette di usare l'interfaccia grafica per la selezione dei nomi principali e dei criteri, perciò non influisce sull'uso dell'Amministrazione SEAM come la prima opzione. Inoltre, benché la memorizzazione nella cache non permetta di visualizzare le modifiche effettuate da altri utenti, essa consente di visualizzare le informazioni più aggiornate in base alle proprie modifiche, poiché gli aggiornamenti vengono applicati sia alle informazioni residenti sul server che a quelle contenute nella cache. Per visualizzare le modifiche effettuate da altri utenti e ottenere la copia più recente degli elenchi, è possibile usare il menu Aggiorna ogni volta che si desidera aggiornare il contenuto della cache ricaricando le informazioni dal server.

Avviare l'Amministrazione SEAM

Per avviare l'Amministrazione SEAM, usare il comando gkadmin.
$ /usr/krb5/sbin/gkadmin
Viene aperta la finestra di login.

Se non si desidera usare i valori predefiniti, specificarne di nuovi.

La finestra di login presenta automaticamente i valori predefiniti. Il nome principale predefinito viene determinato ricavando l'identità dell'utente dalla variabile d'ambiente USER e aggiungendovi /admin (nomeutente/admin). I valori predefiniti per il settore e il KDC master vengono ricavati dal file /etc/krb5/krb5.conf. Se in qualunque momento si desidera tornare ai valori predefiniti, fare clic su Ricomincia.

Nota -
Le operazioni di amministrazione che possono essere eseguite dal nome principale dipendono dalla configurazione del file delle ACL di Kerberos, /etc/krb5/kadm5.acl. Per informazioni sulla limitazione dei privilegi, vedere "Uso dell'Amministrazione SEAM con privilegi di amministrazione Kerberos limitati".

Inserire una password per il nome principale specificato.

Fare clic su OK.

Viene aperta la finestra seguente.

Amministrazione dei nomi principali

Questa sezione contiene istruzioni dettagliate per l'amministrazione dei nomi principali mediante l'Amministrazione SEAM. Contiene inoltre esempi di svolgimento delle procedure mediante l'uso di kadmin dalla riga di comando.

Mappa delle operazioni di amministrazione dei nomi principali

Tabella 5-2 Mappa delle operazioni di amministrazione dei nomi principali


Operazione	Descrizione	Per istruzioni, vedere...
Visualizzare l'elenco dei nomi principali	Visualizzare l'elenco dei nomi principali facendo clic sulla scheda Proprietà.	"Visualizzare l'elenco dei nomi principali"
Visualizzare gli attributi di un nome principale	Visualizzare gli attributi di un nome principale selezionandolo dall'elenco dei nomi principali e facendo clic sul pulsante Modifica.	"Visualizzare gli attributi di un nome principale"
Creare un nuovo nome principale	Creare un nuovo nome principale facendo clic sul pulsante "Crea nuovo" nella finestra con l'elenco dei nomi principali.	"Creare un nuovo nome principale"
Duplicare un nome principale	Duplicare un nome principale selezionandolo nell'elenco dei nomi principali e facendo clic sul pulsante Duplica.	"Duplicare un nome principale"
Modificare un nome principale	Modificare un nome principale selezionandolo nell'elenco dei nomi principali e facendo clic sul pulsante Modifica. Si noti che non è possibile modificare il nome di un nome principale. Per rinominare un nome principale, è necessario duplicarlo, specificare un nuovo nome per la copia, salvarlo e quindi eliminare il vecchio nome principale.	"Modificare un nome principale"
Eliminare un nome principale	Eliminare un nome principale selezionandolo dall'elenco dei nomi principali e facendo clic sul pulsante Elimina.	"Eliminare un nome principale"
Configurare le impostazioni predefinite per la creazione di nuovi nomi principali	Configurare le impostazioni predefinite per la creazione di nuovi nomi principali scegliendo Proprietà dal menu Modifica.	"Configurare le impostazioni predefinite per la creazione di nuovi nomi principali"
Modificare i privilegi di amministrazione di Kerberos (file `kadm5.acl`)	Solo dalla riga di comando. I privilegi di amministrazione di Kerberos determinano quali operazioni è possibile eseguire sul database di Kerberos, ad esempio le operazioni di aggiunta o di modifica. Per modificare i privilegi di amministrazione di Kerberos per tutti i nomi principali è necessario modificare il file `/etc/krb5/kadm5.acl`.	"Modificare i privilegi di amministrazione Kerberos"

Automatizzazione della creazione di nuovi nomi principali

L'Amministrazione SEAM è comoda e facile da usare ma non permette di automatizzare la creazione di nuovi nomi principali. Lo svolgimento automatico di questa procedura è particolarmente utile quando occorre aggiungere decine o centinaia di nomi principali in breve tempo. A tale scopo si può comunque inserire il comando kadmin.local in uno script della Bourne shell.

L'esempio seguente mostra un possibile script da utilizzare per questa operazione:

sed -e 's/^\(.*\)$/ank +needchange -pw \1 \1/' < nomiprinc |
        time /usr/krb5/sbin/kadmin.local> /dev/null

Questo esempio viene rappresentato su due righe per facilitarne la leggibilità. Lo script legge un file di nome nomiprinc che contiene i nomi principali e le relative password e li aggiunge al database di Kerberos. Occorre creare un file nomiprinc che contenga un nome principale e la relativa password su ogni riga, separati da uno o più spazi. L'opzione +needchange configura il nome principale in modo che all'utente venga richiesta una nuova password al primo login con quel nome principale, garantendo in questo modo che le password contenute in nomiprinc non rappresentino un rischio per la sicurezza.

Quello fornito è solo uno dei possibili esempi. Si possono creare script più elaborati di quello illustrato, usando ad esempio le informazioni del servizio di denominazione per ottenere l'elenco dei nomi principali. L'operazione da eseguire e il modo in cui eseguirla dipendono dalle esigenze del sito e dall'esperienza nella creazione degli script.

Visualizzare l'elenco dei nomi principali

Qui di seguito viene spiegato come eseguire la stessa operazione usando la riga di comando.

Se necessario, avviare l'Amministrazione SEAM.

Per maggiori dettagli, vedere "Avviare l'Amministrazione SEAM".

Fare clic sulla scheda "Nomi principali".

Viene visualizzato l'elenco dei nomi principali.

Per visualizzare un nome principale specifico o un sottoinsieme dei nomi principali, inserire una stringa di filtro nel campo "Tipo di filtro" e premere Return. Verrà visualizzato l'elenco dei nomi principali corrispondenti al filtro specificato.

La stringa utilizzata come filtro deve contenere uno o più caratteri. Poiché il meccanismo di filtro distingue tra maiuscole e minuscole, è necessario usare le lettere nella forma appropriata. Ad esempio, se si inserisce la stringa gi, il meccanismo di filtro visualizzerà solo i nomi principali contenenti esattamente la stringa gi (ad esempio, gianni o cugino).

Per visualizzare l'elenco completo dei nomi principali, fare clic su "Cancella filtro".

Esempio: Visualizzazione dell'elenco dei nomi principali (riga di comando)

L'esempio seguente utilizza il comando list_principals di kadmin per elencare tutti i nomi principali che corrispondono a test*. Il comando list_principals accetta l'uso di caratteri speciali.

kadmin: list_principals test*
test1@SPA.IT
test2@SPA.IT
kadmin: quit

Visualizzare gli attributi di un nome principale

Dopo la descrizione della procedura è presentato un esempio della stessa operazione dalla riga di comando.

Se necessario, avviare l'Amministrazione SEAM.

Per maggiori dettagli, vedere "Avviare l'Amministrazione SEAM".

Fare clic sulla scheda "Nomi principali".

Selezionare dall'elenco il nome principale che si desidera visualizzare e fare clic su Modifica.

Viene aperta la finestra "Informazioni sul nome principale" contenente alcuni degli attributi del nome principale.

Fare clic su Avanti per visualizzare tutti gli attributi del nome principale.

Le informazioni sugli attributi sono visualizzate in tre finestre. Per ottenere informazioni sui vari attributi di ogni finestra, scegliere "Guida contestuale" dal menu Guida. Oppure, per avere una descrizione di tutti gli attributi dei nomi principali, vedere "Descrizione delle finestre dell'Amministrazione SEAM".

Dopo avere visualizzato gli attributi di interesse, fare clic su Annulla.

Esempio: Visualizzazione degli attributi di un nome principale

L'esempio seguente mostra la prima finestra che compare visualizzando il nome principale jdb/admin.

Esempio: Visualizzazione degli attributi di un nome principale (riga di comando)

L'esempio seguente utilizza il comando get_principal di kadmin per visualizzare gli attributi del nome principale jdb/admin.

kadmin: getprinc jdb/admin
Nome principale: jdb/admin@SPA.IT
Data di scadenza: ven 25 ago 17:19:05 MET 2000
Ultima modifica della password: [mai]
Data di scadenza della password: mer 14 apr 11:53:10 MET 1999
Durata massima del ticket: 1 giorno 16:00:00
Durata massima del rinnovo: 1 giorno 16:00:00
Ultima modifica: gio 14 gen 11:54:09 MET 1999 (admin/admin@SPA.IT)
Ultima autenticazione riuscita: [mai]
Ultima autenticazione non riuscita: [mai]
Tentativi non riusciti con la password: 0
Numero di chiavi: 1
Chiave: vno 1, DES cbc mode with CRC-32, nessun arricchimento
Attributi: REQUIRES_HW_AUTH
Criteri: [nessuno]
kadmin: quit

Creare un nuovo nome principale

Dopo la descrizione della procedura è presentato un esempio della stessa operazione dalla riga di comando.

Se necessario, avviare l'Amministrazione SEAM.

Per maggiori dettagli, vedere "Avviare l'Amministrazione SEAM".

Nota -
Se si sta creando un nuovo nome principale che potrebbe richiedere nuovi criteri, i nuovi criteri dovranno essere creati prima della creazione del nome principale. Vedere "Creare nuovi criteri".

Fare clic sulla scheda "Nomi principali".

Fare clic su Crea.

Viene aperta la finestra "Informazioni sul nome principale" contenente alcuni degli attributi del nome principale.

Specificare un nome principale e una password.

Sia il nome principale che la password sono obbligatori.

Specificare i valori per gli attributi del nome principale e fare clic su Avanti per specificare altri attributi.

Le informazioni sugli attributi sono visualizzate in tre finestre. Per ottenere informazioni sui vari attributi di ogni finestra, scegliere "Guida contestuale" dal menu Guida. Oppure, per avere una descrizione di tutti gli attributi dei nomi principali, vedere "Descrizione delle finestre dell'Amministrazione SEAM".

Fare clic su Salva per salvare il nome principale, oppure su Fatto nell'ultima finestra.

Se necessario, configurare i privilegi di amministrazione di Kerberos per il nuovo nome principale nel file /etc/krb5/kadm5.acl.

Per maggiori dettagli, vedere "Modificare i privilegi di amministrazione Kerberos".

Esempio: Creazione di un nuovo nome principale

L'esempio seguente mostra la finestra "Informazioni sul nome principale" durante la creazione di un nuovo nome principale di nome test. I criteri sono correntemente impostati su prova1.

Esempio: Creazione di un nuovo nome principale (riga di comando)

L'esempio seguente utilizza il comando add_principal di kadmin per creare un nuovo nome principale di nome test. I criteri associati al nome principale sono impostati su prova1.

kadmin: add_principal -policy prova1 test
Inserire la password per il nome principale "test@SPA.IT": <inserire la password>
Reinserire la password per il nome principale "test@SPA.IT":  <reinserire la password>
Nome principale "test@SPA.IT" creato.
kadmin: quit

Duplicare un nome principale

Questa procedura spiega come usare tutti o alcuni degli attributi di un nome principale esistente per creare un nuovo nome principale. Per questa procedura non esiste un equivalente dalla riga di comando.

Se necessario, avviare l'Amministrazione SEAM.

Per maggiori dettagli, vedere "Avviare l'Amministrazione SEAM".

Fare clic sulla scheda "Nomi principali".

Selezionare il nome principale che si desidera duplicare nell'elenco e fare clic su Duplica.

Viene aperta la finestra "Informazioni sul nome principale". Verranno duplicati tutti gli attributi del nome principale selezionato ad eccezione dei campi "Nome principale" e "Password", che sono vuoti.

Specificare un nome principale e una password.

Sia il nome principale che la password sono obbligatori. Se si desidera creare una copia esatta del nome principale selezionato, fare clic su Salva e passare all'ultimo punto.

Specificare valori differenti per gli attributi del nome principale e fare clic su Avanti per specificare altri attributi.

Le informazioni sugli attributi sono visualizzate in tre finestre. Per ottenere informazioni sui vari attributi di ogni finestra, scegliere "Guida contestuale" dal menu Guida. Oppure, per avere una descrizione di tutti gli attributi dei nomi principali, vedere "Descrizione delle finestre dell'Amministrazione SEAM".

Fare clic su Salva per salvare il nome principale, oppure fare clic su Fatto nell'ultima finestra.

Se necessario, configurare i privilegi di amministrazione di Kerberos per il nome principale nel file /etc/krb5/kadm5.acl.

Per maggiori dettagli, vedere "Modificare i privilegi di amministrazione Kerberos".

Modificare un nome principale

Dopo la descrizione della procedura viene presentato un esempio della stessa operazione dalla riga di comando.

Se necessario, avviare l'Amministrazione SEAM.

Per maggiori dettagli, vedere "Avviare l'Amministrazione SEAM".

Fare clic sulla scheda "Nomi principali".

Selezionare dall'elenco il nome principale che si desidera modificare e fare clic su Modifica.

Viene aperta la finestra "Informazioni sul nome principale" contenente alcuni attributi del nome principale.

Modificare gli attributi del nome principale e fare clic su Avanti per modificare altri attributi.

Le informazioni sugli attributi sono visualizzate in tre finestre. Per ottenere informazioni sui vari attributi di ogni finestra, scegliere "Guida contestuale" dal menu Guida. Oppure, per avere una descrizione di tutti gli attributi dei nomi principali, vedere "Descrizione delle finestre dell'Amministrazione SEAM".

Nota -
Non è possibile modificare il nome del nome principale. Per rinominare un nome principale, è necessario duplicarlo, specificare un nuovo nome, salvarlo ed eliminare il vecchio nome principale.

Fare clic su Salva per salvare il nome principale, oppure fare clic su Fatto nell'ultima finestra.

Modificare i privilegi di amministrazione di Kerberos per il nome principale nel file /etc/krb5/kadm5.acl.

Per maggiori dettagli, vedere "Modificare i privilegi di amministrazione Kerberos".

Esempio: Modifica della password di un nome principale (riga di comando)

L'esempio seguente utilizza il comando change_password di kadmin per modificare la password per il nome principale jdb. change_password non permette di impostare una password che sia già stata utilizzata per lo stesso nome principale.

kadmin: change_password jdb
Inserire la password per il nome principale "jdb": <inserire la nuova password>
Reinserire la password per il nome principale "jdb": <reinserire la password>
Password per "jdb@SPA.IT" modificata.
kadmin: quit

Per modificare altri attributi per un nome principale, è necessario usare il comando modify_principal di kadmin.

Eliminare un nome principale

Dopo la descrizione della procedura verrà presentato un esempio della stessa operazione dalla riga di comando.

Se necessario, avviare l'Amministrazione SEAM.

Per maggiori dettagli, vedere "Avviare l'Amministrazione SEAM".

Fare clic sulla scheda "Nomi principali".

Specificare il nome principale dell'elenco che si desidera eliminare e fare clic su Elimina.

Dopo aver confermato l'eliminazione, il nome principale verrà eliminato.

Rimuovere il nome principale dal file delle ACL di Kerberos, /etc/krb5/kadm5.acl.

Per maggiori dettagli, vedere "Modificare i privilegi di amministrazione Kerberos".

Esempio: Eliminazione di un nome principale (riga di comando)

L'esempio seguente utilizza il comando delete_principal di kadmin per eliminare il nome principale jdb.

kadmin: delete_principal test
Confermare l'eliminazione del nome principale "test@SPA.IT"? (sì/no): sì
Il nome principale "test@SPA.IT" è stato eliminato.
Verificare di avere rimosso questo nome principale da tutte le ACL prima di riutilizzarlo.
kadmin: quit

Configurare le impostazioni predefinite per la creazione di nuovi nomi principali

Per questa procedura non vi sono equivalenti dalla riga di comando.

Se necessario, avviare l'Amministrazione SEAM.

Per maggiori dettagli, vedere "Avviare l'Amministrazione SEAM".

Scegliere Proprietà dal menu Modifica.

Viene aperta la finestra Proprietà.

Selezionare le impostazioni predefinite che si desidera applicare nella creazione di nuovi nomi principali.

Per ottenere informazioni sui vari attributi di ogni finestra, scegliere "Guida contestuale" dal menu Guida.

Fare clic su Salva.

Modificare i privilegi di amministrazione Kerberos

Anche se nel sito sono configurati numerosi nomi principali di utenti, in genere solo alcuni di questi utenti sono autorizzati ad amministrare il database di Kerberos. I privilegi per l'amministrazione del database di Kerberos sono determinati dal file delle liste di controllo degli accessi (ACL) di Kerberos, kadm5.acl(4). Il file kadm5.acl permette di assegnare o revocare i privilegi per singoli nomi principali; oppure, è possibile usare il carattere speciale '*' nel nome principale per specificare i privilegi per gruppi di nomi principali.

Diventare superutente sul KDC master.

Aprire con un editor il file /etc/krb5/kadm5.acl.

Le voci del file kadm5.acl devono avere il seguente formato:

nome_principale   privilegi  [target_nome_principale]

`nome_principale`	È il nome principale a cui vengono assegnati i privilegi. Qualunque parte del nome principale può contenere il carattere '', utile per assegnare gli stessi privilegi ad un gruppo di nomi principali. Ad esempio, se si desidera specificare tutti i nomi principali con l'istanza `admin`, occorrerà usare `/admin@settore`. In molti casi, l'istanza `admin` viene usata per assegnare privilegi separati (come l'accesso di amministrazione al database di Kerberos) a un nome principale separato di Kerberos. Ad esempio, l'utente `jdb` potrebbe avere un nome principale separato per l'uso amministrativo, denominato `jdb/admin`. In questo modo, `jdb` potrà ottenere i ticket per `jdb/admin` solo quando avrà effettivamente bisogno di usare tali privilegi.
`privilegi`	Specifica quali operazioni possono e non possono essere eseguite dal nome principale. È una stringa contenente uno o più caratteri tra quelli sotto elencati, minuscoli o maiuscoli. Se il carattere è maiuscolo (o non è specificato), l'operazione corrispondente non può essere eseguita. Se il carattere è minuscolo, l'operazione è consentita.
	`a`	[Dis]abilita l'aggiunta di nomi principali o criteri.
	`d`	[Dis]abilita l'eliminazione di nomi principali o criteri.
	`m`	[Dis]abilita la modifica di nomi principali o criteri.
	`c`	[Dis]abilita la modifica delle password per i nomi principali.
	`i`	[Dis]abilita le interrogazioni al database.
	`l`	[Dis]abilita la visualizzazione degli elenchi dei nomi principali o dei criteri nel database.
	`x` o `*`	Assegna tutti i privilegi (`admcil`).
`target_nome_principale`	Se in questo campo viene specificato un nome principale, i `privilegi` vengono applicati al `nome_principale` solo quando questo opera sul `target_nome_principale`. Qualunque parte del nome principale può contenere il carattere speciale '*', utile per raggruppare più nomi principali con caratteristiche comuni.

Esempio: Modifica dei privilegi di amministrazione di Kerberos

La riga seguente nel file kadm5.acl assegna a tutti i nomi principali del settore SPA.IT con l'istanza admin tutti i privilegi per il database.

*/admin@SPA.IT *

La riga seguente nel file kadm5.acl assegna al nome principale jdb@SPA.IT i privilegi per aggiungere, visualizzare ed eseguire interrogazioni su tutti i nomi principali con l'istanza root.

jdb@SPA.IT ali */root@SPA.IT

Amministrazione dei criteri

Questa sezione contiene istruzioni dettagliate per l'amministrazione dei criteri mediante l'Amministrazione SEAM. Dopo la descrizione delle procedure vengono forniti esempi delle stesse operazioni mediante l'uso del comando kadmin dalla riga di comando.

Mappa delle operazioni di amministrazione dei criteri

Tabella 5-3 Mappa delle operazioni di amministrazione dei criteri


Operazione	Descrizione	Per istruzioni, vedere...
Visualizzare l'elenco dei criteri	Visualizzare l'elenco dei criteri facendo clic sulla scheda Criteri.	"Visualizzare l'elenco dei criteri"
Visualizzare gli attributi dei criteri	Visualizzare gli attributi di un insieme di criteri selezionandolo dall'elenco e facendo clic sul pulsante Modifica.	"Visualizzare gli attributi dei criteri"
Creare nuovi criteri	Creare un nuovo insieme di criteri facendo clic sul pulsante "Crea nuovo" nella finestra con l'elenco dei criteri.	"Creare nuovi criteri"
Duplicare i criteri	Duplicare un insieme di criteri selezionandolo dall'elenco e facendo clic sul pulsante Duplica.	"Duplicare i criteri"
Modificare i criteri	Modificare un insieme di criteri selezionandolo dall'elenco e facendo clic sul pulsante Modifica. Si noti che non è possibile modificare il nome dei criteri. Per rinominare un insieme di criteri, è necessario duplicarlo, specificare un nuovo nome, salvarlo ed eliminare il vecchio insieme di criteri.	"Modificare i criteri"
Eliminare i criteri	Eliminare un insieme di criteri selezionandolo dall'elenco e facendo clic sul pulsante Elimina.	"Eliminare i criteri"

Visualizzare l'elenco dei criteri

Dopo la descrizione della procedura verrà presentato un esempio della stessa operazione dalla riga di comando.

Se necessario, avviare l'Amministrazione SEAM.

Per maggiori dettagli, vedere "Avviare l'Amministrazione SEAM".

Fare clic sulla scheda Criteri.

Viene visualizzato l'elenco dei criteri.

Per visualizzare un insieme di criteri specifico o un loro sottoinsieme, inserire una stringa di filtro nel campo "Tipo di filtro" e premere Return. Verrà visualizzato l'elenco dei criteri corrispondenti al filtro specificato.

La stringa utilizzata come filtro deve contenere uno o più caratteri. Poiché il meccanismo di filtro distingue tra maiuscole e minuscole, è necessario usare le lettere nella forma appropriata. Ad esempio, se si inserisce la stringa gi, il meccanismo di filtro visualizzerà solo i nomi principali contenenti esattamente la stringa gi (ad esempio, gianni o cugino).

Per visualizzare l'intero elenco dei criteri, fare clic su "Cancella filtro".

Esempio: Visualizzazione dell'elenco dei criteri (riga di comando)

L'esempio seguente utilizza il comando list_policies di kadmin per visualizzare tutti i criteri che corrispondono a *utente*. Il comando list_policies accetta l'uso di caratteri speciali.

kadmin: list_policies *utente*
testutente
utenteita
kadmin: quit

Visualizzare gli attributi dei criteri

Dopo la descrizione della procedura verrà presentato un esempio della stessa operazione dalla riga di comando.

Se necessario, avviare l'Amministrazione SEAM.

Per maggiori dettagli, vedere "Avviare l'Amministrazione SEAM".

Fare clic sulla scheda Criteri.

Selezionare dall'elenco l'insieme di criteri che si desidera visualizzare e fare clic su Modifica.

Viene aperta la finestra "Dettagli sui criteri".

Dopo aver visualizzato i criteri di interesse, fare clic su Annulla.

Esempio: Visualizzazione degli attributi dei criteri

L'esempio seguente mostra la finestra "Dettagli sui criteri" relativa all'insieme di criteri utenteit.

Esempio: Visualizzazione degli attributi dei criteri (riga di comando)

L'esempio seguente utilizza il comando get_policy di kadmin per visualizzare gli attributi dell'insieme di criteri utenteit.

kadmin: get_policy utenteit
Criteri: utenteit
Durata massima della password: 2592000
Durata minima della password: 0
Lunghezza minima della password: 8
Numero minimo di classi di caratteri per la password: 2
Numero di vecchie chiavi conservate: 3
Numero di riferimenti: 0
kadmin: quit

Il numero dei riferimenti corrisponde al numero dei nomi principali che utilizzano questo insieme di criteri.

Creare nuovi criteri

Dopo la descrizione della procedura verrà presentato un esempio della stessa operazione dalla riga di comando.

Se necessario, avviare l'Amministrazione SEAM.

Per maggiori dettagli, vedere "Avviare l'Amministrazione SEAM".

Fare clic sulla scheda Criteri.

Fare clic su Crea.

Viene aperta la finestra "Dettagli sui criteri".

Specificare un nome per l'insieme di criteri nel campo "Nome criteri".

Il nome del criterio è obbligatorio.

Specificare i valori per gli attributi del criterio.

Per ottenere informazioni sui vari attributi di ogni finestra, scegliere "Guida contestuale" dal menu Guida. Oppure, per avere una descrizione di tutti gli attributi dei criteri, vedere la Tabella 5-7.

Fare clic su Salva per salvare i criteri, oppure fare clic su Fatto.

Esempio: Creazione di nuovi criteri

L'esempio seguente illustra la creazione di un nuovo insieme di criteri denominato prova1. In precedenza, il numero minimo delle classi da utilizzare per la password era stato impostato su 3.

Esempio: Creazione di nuovi criteri (riga di comando)

L'esempio seguente utilizza il comando add_policy di kadmin per creare l'insieme di criteri prova1 con una password che contenga almeno tre classi di caratteri.

$ kadmin
kadmin: add_policy -minclasses 3 prova1
kadmin: quit

Duplicare i criteri

Questa procedura spiega come usare tutti o alcuni degli attributi di un insieme di criteri esistente per creare un nuovo insieme di criteri. Per questa procedura non è disponibile un equivalente dalla riga di comando.

Se necessario, avviare l'Amministrazione SEAM.

Per maggiori dettagli, vedere "Avviare l'Amministrazione SEAM".

Fare clic sulla scheda Criteri.

Selezionare dall'elenco l'insieme di criteri che si desidera duplicare e fare clic su Duplica.

Viene aperta la finestra "Dettagli sui criteri". Verranno duplicati tutti gli attributi dei criteri selezionati ad eccezione del campo "Nome criteri", che è vuoto.

Specificare un nome per il duplicato dei criteri nel campo "Nome criteri".

Il nome dei criteri è obbligatorio. Se si desidera creare una copia esatta dei criteri selezionati, fare clic su Salva e passare all'ultimo punto.

Specificare valori differenti per gli attributi dei criteri.

Per ottenere informazioni sui vari attributi di ogni finestra, scegliere "Guida contestuale" dal menu Guida. Oppure, per avere una descrizione di tutti gli attributi dei criteri, vedere la Tabella 5-7.

Fare clic su Salva per salvare i criteri, oppure fare clic su Fatto.

Modificare i criteri

Dopo la descrizione della procedura, verrà presentato un esempio della stessa operazione dalla riga di comando.

Se necessario, avviare l'Amministrazione SEAM.

Per maggiori dettagli, vedere "Avviare l'Amministrazione SEAM".

Fare clic sulla scheda Criteri.

Selezionare dall'elenco l'insieme di criteri da modificare e fare clic su Modifica.

Viene aperta la finestra "Dettagli sui criteri".

Modificare gli attributi dei criteri.

Per ottenere informazioni sui vari attributi di ogni finestra, scegliere "Guida contestuale" dal menu Guida. Oppure, per avere una descrizione di tutti gli attributi dei criteri, vedere la Tabella 5-7.

Nota -
Non è possibile modificare il nome dei criteri. Per rinominare un insieme di criteri, è necessario duplicarlo, specificare un nuovo nome, salvarlo ed eliminare il vecchio insieme di criteri.

Fare clic su Salva per salvare i criteri, oppure fare clic su Fatto.

Esempio: Modifica dei criteri (riga di comando)

L'esempio seguente utilizza il comando modify_policy di kadmin per modificare la lunghezza minima della password a cinque caratteri per l'insieme di criteri prova1.

$ kadmin
kadmin: modify_policy -minlength 5 prova1
kadmin: quit

Eliminare i criteri

Dopo la descrizione della procedura, verrà presentato un esempio della stessa operazione dalla riga di comando.

Se necessario, avviare l'Amministrazione SEAM.

Per maggiori dettagli, vedere "Avviare l'Amministrazione SEAM".

Fare clic sulla scheda Criteri.

Nota -
Per poter eliminare un insieme di criteri, occorre prima eliminarlo dai nomi principali che attualmente lo utilizzano (modificando l'attributo Criteri dei nomi principali). I criteri non possono essere eliminati se sono utilizzati da un nome principale.

Specificare l'insieme di criteri dell'elenco che si desidera eliminare e fare clic su Elimina.

Dopo aver confermato l'eliminazione, l'insieme di criteri viene eliminato.

Esempio: Eliminazione dei criteri (riga di comando)

L'esempio seguente utilizza il comando delete_policy di kadmin per eliminare l'insieme di criteri prova1.

kadmin: delete_policy prova1 
Confermare l'eliminazione dei criteri "prova1"? (sì/no): sì
kadmin: quit

Per poter eliminare un insieme di criteri, occorre prima eliminarlo dai nomi principali che attualmente lo utilizzano (usando il comando modify_principal -policy di kadmin sui nomi principali). Il comando delete_policy non può essere eseguito se i criteri vengono utilizzati da un nome principale.

Informazioni di riferimento sull'Amministrazione SEAM

Questa sezione contiene informazioni di riferimento per l'Amministrazione SEAM.

Descrizione delle finestre dell'Amministrazione SEAM

In questa sezione sono descritti tutti gli attributi dei nomi principali e dei criteri che è possibile specificare o visualizzare nell'Amministrazione SEAM. Gli attributi sono organizzati in base alla finestra in cui compaiono.

Tabella 5-4 Attributi della finestra "Informazioni sul nome principale"


Attributo	Descrizione
Nome principale	Il nome principale (la parte `nome primario`/`istanza` di un nome principale pienamente qualificato). Un nome principale è un'identità unica a cui il KDC può assegnare i ticket. Se si sta modificando un nome principale, non è possibile cambiarne il nome.
Password	È la password per il nome principale. Si può creare una password casuale per il nome principale usando il pulsante "Genera password casuale".
Criteri	Menu dei criteri disponibili per il nome principale.
Scadenza account	Data e ora di scadenza dell'account del nome principale. Dopo la scadenza dell'account, il nome principale non può più ottenere un TGT e non può più eseguire il login.
Ultima modifica al nome principale	Data dell'ultima modifica alle informazioni del nome principale. (Sola lettura)
Autore dell'ultima modifica	Nome principale dell'utente che ha eseguito l'ultima modifica sull'account. (Sola lettura)
Commenti	Commenti relativi al nome principale (ad esempio, 'Account temporaneo')

Tabella 5-5 Attributi della finestra "Dettagli sul nome principale"


Attributo	Descrizione
Ultimo login riuscito	Data e ora in cui il nome principale ha eseguito l'ultimo login. (Sola lettura)
Ultimo login non riuscito	Data e ora in cui il nome principale ha effettuato un tentativo non riuscito di eseguire il login. (Sola lettura)
Numero di login non riusciti	Numero di volte in cui il nome principale non è riuscito ad eseguire il login. (Sola lettura)
Ultima modifica della password	Data e ora in cui la password del nome principale è stata modificata l'ultima volta. (Sola lettura)
Scadenza della password	Data e ora di scadenza della password corrente del nome principale.
Versione della chiave	Numero di versione della chiave del nome principale; di norma, questo valore viene cambiato solamente quando la password è stata compromessa.
Durata massima (sec)	Tempo massimo di validità di un ticket assegnato al nome principale (senza rinnovo).
Durata massima del rinnovo (sec)	Tempo massimo per cui un ticket esistente può essere rinnovato per il nome principale.

Tabella 5-6 Attributi della finestra "Attributi del nome principale"


Attributo (pulsante)	Descrizione
Disabilita account	Selezionando questa opzione, si impedisce al nome principale di effettuare il login. Questa opzione offre un modo semplice per bloccare temporaneamente l'account di un nome principale.
Richiedi modifica password	Selezionando questa casella si forza la scadenza della password corrente del nome principale, costringendo l'utente a usare il comando `kpasswd` per creare una nuova password. Si può usare questa opzione in caso di violazione della sicurezza, per avere la certezza che le vecchie password vengano sostituite.
Abilita ticket postdatati	Se questa opzione è selezionata, il nome principale può ottenere ticket postdatati. I ticket postdatati possono essere utili quando occorre programmare l'esecuzione di determinate operazioni al di fuori dell'orario normale e non si possono ottenere i ticket in anticipo perché la loro durata è troppo breve.
Abilita ticket inoltrabili	Se questa opzione è selezionata, il nome principale è abilitato ad ottenere ticket inoltrabili. Si dicono inoltrabili i ticket che possono essere inoltrati all'host remoto per aprire una sessione con autenticazione singola. Ad esempio, se si utilizzano i ticket inoltrabili e ci si autentica con `ftp` o `rsh`, si potranno utilizzare altri servizi, come NFS, senza dover inserire un'altra password.
Abilita ticket rinnovabili	Se questa opzione è selezionata, il nome principale è abilitato ad ottenere ticket rinnovabili. Con un ticket rinnovabile, il nome principale può rinviare automaticamente la data di scadenza del ticket o prolungarne la durata (anziché dover richiedere un nuovo ticket dopo la scadenza del primo). Attualmente, il servizio NFS è l'unico a consentire il rinnovo dei ticket.
Abilita ticket delegabili	Se questa opzione è selezionata, il nuovo nome principale è abilitato ad ottenere ticket delegabili. I ticket delegabili possono essere usati da un servizio per conto di un client per eseguire un'operazione per il client. Con un ticket delegabile, un servizio può assumere l'identità di un client e ottenere un ticket per un altro servizio, ma non può ottenere un TGT.
Abilita ticket di servizio	Selezionando questa opzione si abilita l'emissione di ticket di servizi per il nome principale. Non si dovrebbe abilitare l'emissione di ticket di servizi per i nomi principali `kadmin/nomehost` e `changepw/nomehost`. In questo modo si avrà la certezza che questi nomi principali possano aggiornare solo il database del KDC.
Abilita autenticazione TGT	Selezionando questa opzione, si abilita il nome principale di un servizio a fornire servizi a un altro nome principale. Più precisamente, si abilita il KDC ad emettere un ticket di servizio per il nome principale del servizio. Questo attributo è valido solo per i nomi principali dei servizi. Se questa opzione non è selezionata, non è possibile emettere ticket di servizi per il nome principale corrente.
Abilita autenticazione voci doppie	Se questa opzione è selezionata, il nuovo nome principale dell'utente potrà ottenere ticket di servizi per altri nomi principali. Questo attributo vale solo per i nomi principali degli utenti. Se questa opzione non è selezionata, il nuovo nome principale può ottenere ticket di servizi per altri nomi principali di servizi, ma non per altri nomi principali di utenti.
Richiedi preautenticazione	Se questa opzione è selezionata, il KDC non invierà i TGT richiesti al nuovo nome principale finché non avrà verificato (con un'autenticazione software) che la richiesta proviene realmente dal nome principale. Questa preautenticazione viene generalmente eseguita con un'altra password, ricavata ad esempio da una scheda DES. Se questa opzione non è selezionata, il KDC non dovrà preautenticare il nuovo nome principale prima di inviargli i TGT richiesti.
Richiedi preautenticazione hardware	Se questa opzione è selezionata, il KDC non invierà i TGT richiesti al nuovo nome principale finché non avrà verificato (con un'autenticazione hardware) che la richiesta proviene realmente dal nome principale. La preautenticazione hardware può avvenire ad esempio con un lettore di Java ring. Se questa opzione non è selezionata, il KDC non dovrà preautenticare il nuovo nome principale prima di inviargli i TGT richiesti.

Tabella 5-7 Attributi della finestra "Dettagli sui criteri"


Attributo	Descrizione
Nome criteri	È il nome dell'insieme di criteri corrente. Un insieme di criteri è un gruppo di regole che governano la password e i ticket di un nome principale. Se si sta modificando un insieme di criteri, non è possibile cambiarne il nome.
Lunghezza minima password	È la lunghezza minima per la password del nome principale.
Classi minime password	È il numero minimo di tipi di carattere diversi richiesti nella password del nome principale. Ad esempio, il valore 2 indica che la password deve contenere almeno due tipi di caratteri differenti, come lettere e numeri (ciao4mamma). Il valore 3 significa che la password deve contenere almeno tre tipi di caratteri differenti, ad esempio lettere, numeri e simboli di punteggiatura (ciao4mamma!), e così via. Il valore 1 non pone alcuna restrizione al numero dei tipi di carattere da usare per le password.
Password precedenti	È il numero delle password che sono state usate in precedenza dal nome principale e che non possono essere riutilizzate.
Durata minima password (sec)	È il tempo minimo per cui la password deve essere usata prima di poter essere modificata.
Durata massima password (sec)	È il tempo massimo per cui la password può essere utilizzata prima di dover essere cambiata.
Nomi principali che usano questi criteri	È il numero dei nomi principali a cui vengono applicati i criteri correnti. (Sola lettura)

Uso dell'Amministrazione SEAM con privilegi di amministrazione Kerberos limitati

Se il nome principale admin possiede tutti i privilegi di amministrazione per il database kerberos, sono disponibili tutte le funzioni dell'Amministrazione SEAM. È anche possibile creare privilegi limitati, che consentano ad esempio soltanto di visualizzare l'elenco dei nomi principali o di modificare la password di un nome principale. L'Amministrazione SEAM può essere utilizzata anche con privilegi di amministrazione limitati; tuttavia, alcune parti dell'applicazione appariranno in modo differente in base ai privilegi di amministrazione Kerberos disponibili. La Tabella 5-8 indica in che modo l'Amministrazione SEAM cambia in base ai privilegi di amministrazione Kerberos.

Il cambiamento più visibile dell'Amministrazione SEAM si verifica quando non si possiede il privilegio di visualizzazione. Senza questo privilegio, le finestre non mostrano gli elenchi dei nomi principali e dei criteri. Occorrerà usare il campo Nome per specificare il nome principale o l'insieme di criteri su cui si desidera operare.

Se si accede all'Amministrazione SEAM e non si possiedono privilegi sufficienti per eseguire le operazioni, comparirà il messaggio seguente e si verrà riportati alla finestra di login:

Privilegi insufficienti per usare gkadmin: ADMCIL. Provare a usare un altro nome principale.

Per informazioni su come modificare i privilegi di amministrazione del database Kerberos per un nome principale, vedere "Modificare i privilegi di amministrazione Kerberos".

Tabella 5-8 Uso dell'Amministrazione SEAM con privilegi di amministrazione Kerberos limitati


Se non si possiede questo privilegio...	L'Amministrazione SEAM cambia in questo modo...
`a` (aggiunta)	I pulsanti Crea e Duplica non sono disponibili nelle finestre con gli elenchi dei nomi principali e dei criteri. Senza questo privilegio non è possibile creare o duplicare i nomi principali e i criteri.
`d` (eliminazione)	Il pulsante Elimina non è disponibile nelle finestre con gli elenchi dei nomi principali e dei criteri. Senza questo privilegio non è possibile eliminare i nomi principali o i criteri.
`m` (modifica)	Il pulsante Modifica non è disponibile nelle finestre con gli elenchi dei nomi principali e dei criteri. Senza questo privilegio non è possibile modificare i nomi principali o i criteri. Inoltre, se il pulsante Modifica non è disponibile, non è possibile modificare la password di un nome principale, anche se si possiede il privilegio per la modifica della password.
`c` (modifica della password)	Il campo Password nella finestra "Informazioni sul nome principale" è di sola lettura e non può essere modificato. Senza questo privilegio, non è possibile modificare la password del nome principale. Si noti che, anche se si possiede il privilegio per la modifica della password, per poter cambiare la password di un nome principale è necessario avere anche il privilegio di modifica.
`i` (interrogazione del database)	I pulsanti Modifica e Duplica non sono disponibili nelle finestre con gli elenchi dei nomi principali e dei criteri. Senza questo privilegio non è possibile modificare o duplicare i nomi principali o i criteri. Inoltre, se il pulsante Modifica non è disponibile, non è possibile modificare la password di un nome principale, anche se si possiede il privilegio per la modifica della password.
`l` (visualizzazione)	Gli elenchi dei nomi principali e dei criteri non sono disponibili. Senza questo privilegio, è necessario usare il campo Nome per specificare il nome principale o l'insieme di criteri su cui si desidera operare.

Amministrazione delle tabelle di chiavi

Tutti gli host che forniscono un servizio devono avere un file locale, detto tabella di chiavi (keytab), contenente il nome principale per il servizio appropriato, detto chiave di servizio. Le chiavi di servizio vengono usate dai servizi per autenticarsi sul KDC e sono conosciute solo da Kerberos e dal servizio stesso. Ad esempio, se si utilizza un server NFS basato su Kerberos, questo server deve avere una tabella di chiavi contenente il nome principale del suo servizio nfs.

Per aggiungere una chiave di servizio a una tabella di chiavi, occorre aggiungere il nome principale del servizio appropriato alla tabella di chiavi di un host usando il comando ktadd di kadmin. Per poter aggiungere il nome principale di un servizio a una tabella di chiavi, tale nome principale deve già esistere nel database di Kerberos, in modo che kadmin possa verificare la sua esistenza. Sul KDC master, nella configurazione predefinita, il file con la tabella di chiavi si trova in /etc/krb5/kadm5.keytab. Sui server di applicazioni che forniscono servizi basati su Kerberos, il file della tabella di chiavi si trova in /etc/krb5/krb5.keytab.

Una tabella di chiavi è analoga alla password di un utente. Come è importante per gli utenti proteggere le loro password, è altrettanto importante per i server di applicazioni proteggere le loro tabelle di chiavi. Le tabelle di chiavi dovrebbero sempre essere memorizzate su un disco locale ed essere leggibili solo da root, e non dovrebbero mai essere trasmesse su una rete non protetta.

Vi è anche una condizione speciale per l'aggiunta di un nome principale root alla tabella di chiavi di un host. Essenzialmente, se si desidera che un utente del client SEAM attivi automaticamente i file system NFS basati su Kerberos usando l'autenticazione Kerberos, è necessario aggiungere il nome principale root del client alla sua tabella di chiavi. Diversamente, gli utenti dovranno usare il comando kinit come root per ottenere le credenziali per il nome principale root del client ogni volta che vorranno attivare un file system NFS basato su Kerberos, anche utilizzando l'attivazione automatica dei file system (automounter). Per informazioni più dettagliate, vedere "Impostazione dell'autenticazione root per l'attivazione dei file system NFS".

Nota -

Quando si configura un KDC master, è necessario aggiungere i nomi principali kadmind e changepw al file kadm5.keytab, in modo che il KDC possa decifrare i ticket kerberos degli amministratori e determinare se essi possano o meno accedere al database.

Un altro comando che si può utilizzare per amministrare le tabelle di chiavi è ktutil. ktutil è un comando interattivo che permette di gestire la tabella di chiavi locale dell'host senza possedere i privilegi di amministrazione di Kerberos, poiché ktutil non interagisce con il database di Kerberos come kadmin. Perciò, dopo aver aggiunto un nome principale a una tabella di chiavi, si potrà usare ktutil per visualizzare l'elenco delle chiavi o per disabilitare temporaneamente l'autenticazione per un servizio.

Mappa delle operazioni di amministrazione delle tabelle di chiavi

Tabella 5-9 Mappa delle operazioni di amministrazione delle tabelle di chiavi


Operazione	Descrizione	Per istruzioni, vedere...
Aggiungere il nome principale di un servizio a una tabella di chiavi	Usare il comando `ktadd` di `kadmin` per aggiungere il nome principale di un servizio a una tabella di chiavi.	"Aggiungere il nome principale di un servizio a una tabella di chiavi"
Rimuovere il nome principale di un servizio da una tabella di chiavi	Usare il comando `ktremove` di `kadmin` per rimuovere un servizio da una tabella di chiavi.	"Rimuovere il nome principale di un servizio da una tabella di chiavi"
Visualizzare l'elenco delle chiavi (nomi principali) di una tabella di chiavi	Usare il comando `ktutil` per visualizzare l'elenco delle chiavi di una tabella di chiavi.	"Visualizzare l'elenco delle chiavi (nomi principali) di una tabella di chiavi"
Disabilitare temporaneamente l'autenticazione per un servizio su un host	Questa procedura offre un modo rapido per disabilitare temporaneamente l'autenticazione per un servizio su un host senza possedere i privilegi `kadmin`. Prima di usare `ktutil` per eliminare il nome principale del servizio dalla tabella di chiavi del server, copiare la tabella di chiavi originale in una posizione temporanea. Per riabilitare il servizio, sarà sufficiente copiare la tabella di chiavi nella posizione originaria.	"Disabilitare temporaneamente l'autenticazione per un servizio su un host"

Aggiungere il nome principale di un servizio a una tabella di chiavi

Verificare che il nome principale esista già nel database di Kerberos.

Per maggiori informazioni, vedere "Visualizzare l'elenco dei nomi principali".

Diventare superutente sull'host che richiede l'aggiunta di un nome principale alla sua tabella di chiavi.

Avviare il comando kadmin.
# /usr/krb5/sbin/kadmin

Aggiungere un nome principale alla tabella di chiavi usando il comando ktadd.

kadmin: ktadd [-k tabella_chiavi] [-q] [nome_principale | -glob espressione_nome_principale]

`-k` `tabella_chiavi`	Specifica il file contenente la tabella di chiavi. Nella configurazione predefinita, viene usato il file `/etc/krb5/krb5.keytab`.
`-q`	Visualizza un minor numero di informazioni.
`nome_principale`	Nome principale da aggiungere alla tabella di chiavi. È possibile aggiungere i seguenti nomi principali di servizi: `host`, `root`, `nfs` e `ftp`.
`-glob` `espressione_nome_principale`	Verranno aggiunti alla tabella di chiavi tutti i nomi principali corrispondenti a questa espressione. Le regole per l'espressione sono le stesse valide per il comando `list_principals` di `kadmin`.

Uscire dal comando kadmin.
kadmin: quit

Esempio: Aggiunta del nome principale di un servizio a una tabella di chiavi

L'esempio seguente aggiunge i nomi principali kadmin/admin e kadmin/changepw alla tabella di chiavi di un KDC master. Ai fini di questo esempio, il file della tabella di chiavi deve essere quello specificato nel file kdc.conf.

kdc1 # /usr/krb5/bin/kadmin.local
kadmin.local: ktadd -k /etc/krb5/kadm5.keytab kadmin/admin kadmin/changepw
Voce per nome principale kadmin/admin@SPA.IT con kvno 3, tipo di cifratura DES-CBC-CRC
  aggiunta alla tabella di chiavi WRFILE:/etc/krb5/kadm5.keytab.
Voce per nome principale kadmin/changepw@SPA.IT con kvno 3, tipo di cifratura DES-CBC-CRC
  aggiunta alla tabella di chiavi WRFILE:/etc/krb5/kadm5.keytab.
kadmin.local: quit

L'esempio seguente aggiunge il nome principale host di milano al file della tabella di chiavi di milano, in modo che i servizi di rete di milano possano essere autenticati dal KDC.

milano # /usr/krb5/bin/kadmin
kadmin: ktadd host/milano@spa.it@SPA.IT
kadmin: Voce per nome principale host/milano@spa.it@SPA.IT con kvno 2,
  tipo di cifratura DES-CBC-CRC aggiunta alla tabella di chiavi 
  WRFILE:/etc/krb5/krb5.keytab.
kadmin: quit

Rimuovere il nome principale di un servizio da una tabella di chiavi

Diventare superutente sull'host con la tabella di chiavi da cui occorre rimuovere il nome principale di un servizio.

Avviare il comando kadmin.
# /usr/krb5/bin/kadmin

Opzionale. Per visualizzare l'elenco corrente dei nomi principali (chiavi) contenuti nella tabella di chiavi, usare il comando ktutil.

Per istruzioni dettagliate, vedere "Visualizzare l'elenco delle chiavi (nomi principali) di una tabella di chiavi".

Rimuovere il nome principale dalla tabella di chiavi usando il comando ktremove.

kadmin: ktremove [-k tabella_chiavi] [-q] nome_principale [versione_chiave | all | old ]

`-k` `tabella_chiavi`	Specifica il file contenente la tabella di chiavi. Nella configurazione predefinita, viene usato `/etc/krb5/krb5.keytab`.
`-q`	Visualizza un minor numero di informazioni.
`nome_principale`	Nome principale da rimuovere dalla tabella di chiavi.
`versione_chiave`	Rimuove tutte le voci relative al nome principale specificato il cui numero di versione della chiave corrisponda a `kvno`.
`all`	Rimuove tutte le voci relative al nome principale specificato.
`old`	Rimuove tutte le voci relative al nome principale specificato tranne quelle con il numero di versione più alto.

Uscire dal comando kadmin.
kadmin: quit

Esempio: Rimozione del nome principale di un servizio da una tabella di chiavi

L'esempio seguente rimuove il nome principale host di milano dal file della tabella di chiavi di milano.

milano # /usr/krb5/bin/kadmin
kadmin: ktremove host/milano.spa.it@SPA.IT
kadmin: Voce per il nome principale host/milano.spa.it@SPA.IT con kvno 3 
  rimossa dalla tabella di chiavi WRFILE:/etc/krb5/krb5.keytab.
kadmin: quit

Visualizzare l'elenco delle chiavi (nomi principali) di una tabella di chiavi

Diventare superutente sull'host su cui risiede la tabella di chiavi.

Nota -
Benché sia possibile creare tabelle di chiavi possedute da altri utenti, la posizione predefinita per la tabella di chiavi deve essere di proprietà di root.

Avviare il comando ktutil.
# /usr/krb5/bin/ktutil

Caricare la tabella di chiavi nel buffer per gli elenchi di chiavi usando il comando read_kt.
ktutil: read_kt tabella_chiavi

Visualizzare il contenuto del buffer usando il comando list.
ktutil: list
Viene visualizzato il contenuto corrente del buffer per gli elenchi di chiavi.

Uscire dal comando ktutil.
ktutil: quit

Esempio: Visualizzazione dell'elenco di chiavi (nomi principali) di una tabella di chiavi

L'esempio seguente visualizza l'elenco delle chiavi contenuto nel file /etc/krb5/krb5.keytab sull'host milano.

milano # /usr/krb5/bin/ktutil
    ktutil: read_kt /etc/krb5/krb5.keytab
    ktutil: list
Slot Vers. Nome principale
---- ---- ---------------------------------------
   1    5 host/milano@SPA.IT
    ktutil: quit

Disabilitare temporaneamente l'autenticazione per un servizio su un host

In alcuni casi può essere utile disabilitare temporaneamente il meccanismo di autenticazione per un servizio, ad esempio per rlogin o ftp, su un server di applicazioni di rete. Ad esempio, si può impedire che gli utenti effettuino il login in un sistema durante l'esecuzione di procedure di manutenzione. Il comando ktutil permette di ottenere questo scopo rimuovendo il nome principale del servizio dalla tabella di chiavi del server, senza bisogno dei privilegi di kadmin. Per abilitare nuovamente l'autenticazione, sarà sufficiente copiare la tabella di chiavi originale nella sua posizione originaria.

Nota -

Nella configurazione predefinita, la maggior parte dei servizi può essere utilizzato solo con un'autenticazione. Se l'autenticazione non è richiesta, il servizio continuerà a funzionare anche disabilitando la relativa autenticazione.

Diventare superutente sull'host su cui risiede la tabella di chiavi.

Nota -
Benché sia possibile creare tabelle di chiavi possedute da altri utenti, la posizione predefinita per la tabella di chiavi deve essere di proprietà di root.

Salvare la tabella di chiavi corrente in un file temporaneo.

Avviare il comando ktutil.
# /usr/krb5/bin/ktutil

Caricare la tabella di chiavi nel buffer per gli elenchi di chiavi usando il comando read_kt.
ktutil: read_kt tabella_chiavi

Visualizzare il contenuto del buffer usando il comando list.
ktutil: list
Viene visualizzato il contenuto corrente del buffer per gli elenchi di chiavi. Annotare il numero di slot per il servizio da disabilitare.

Per disabilitare temporaneamente un servizio dell'host, rimuovere il nome principale del servizio specifico dal buffer per gli elenchi di chiavi usando il comando delete_entry.
ktutil: delete_entry numero_slot
numero_slot

Numero di slot del nome principale del servizio da eliminare, visualizzato dal comando list.

Scaricare il contenuto del buffer nella tabella di chiavi usando il comando write_kt.
ktutil: write_kt tabella_chiavi

Uscire dal comando ktutil.
ktutil: quit

Per abilitare nuovamente il servizio, copiare la tabella di chiavi temporanea (originale) nella sua posizione originaria.

Esempio -- Disabilitazione temporanea di un servizio su un host

L'esempio seguente disabilita temporaneamente il servizio host sull'host milano. Per abilitare nuovamente il servizio su milano, occorrerà copiare il file krb5.keytab.temp nel file /etc/krb5/krb5.keytab.

milano # cp /etc/krb5/krb5.keytab /etc/krb5/krb5.keytab.temp
milano # /usr/krb5/bin/ktutil
    ktutil:read_kt /etc/krb5/krb5.keytab
    ktutil:list
Slot Vers. Nome principale
---- ---- ---------------------------------------
   1    8 root/milano@SPA.IT
   2    5 host/milano@SPA.IT
    ktutil:delete_entry 2
    ktutil:list
Slot Vers. Nome principale
---- ---- --------------------------------------
   1    8 root/milano@SPA.IT
    ktutil:write_kt /etc/krb5/krb5.keytab
    ktutil: quit