Amministrazione dei nomi principali

Questa sezione contiene istruzioni dettagliate per l'amministrazione dei nomi principali mediante l'Amministrazione SEAM. Contiene inoltre esempi di svolgimento delle procedure mediante l'uso di kadmin dalla riga di comando.

Mappa delle operazioni di amministrazione dei nomi principali

Automatizzazione della creazione di nuovi nomi principali

L'Amministrazione SEAM è comoda e facile da usare ma non permette di automatizzare la creazione di nuovi nomi principali. Lo svolgimento automatico di questa procedura è particolarmente utile quando occorre aggiungere decine o centinaia di nomi principali in breve tempo. A tale scopo si può comunque inserire il comando kadmin.local in uno script della Bourne shell.

L'esempio seguente mostra un possibile script da utilizzare per questa operazione:

sed -e 's/^\(.*\)$/ank +needchange -pw \1 \1/' < nomiprinc |
        time /usr/krb5/sbin/kadmin.local> /dev/null

Questo esempio viene rappresentato su due righe per facilitarne la leggibilità. Lo script legge un file di nome nomiprinc che contiene i nomi principali e le relative password e li aggiunge al database di Kerberos. Occorre creare un file nomiprinc che contenga un nome principale e la relativa password su ogni riga, separati da uno o più spazi. L'opzione +needchange configura il nome principale in modo che all'utente venga richiesta una nuova password al primo login con quel nome principale, garantendo in questo modo che le password contenute in nomiprinc non rappresentino un rischio per la sicurezza.

Quello fornito è solo uno dei possibili esempi. Si possono creare script più elaborati di quello illustrato, usando ad esempio le informazioni del servizio di denominazione per ottenere l'elenco dei nomi principali. L'operazione da eseguire e il modo in cui eseguirla dipendono dalle esigenze del sito e dall'esperienza nella creazione degli script.

Visualizzare l'elenco dei nomi principali

Qui di seguito viene spiegato come eseguire la stessa operazione usando la riga di comando.

1. Se necessario, avviare l'Amministrazione SEAM.

   Per maggiori dettagli, vedere "Avviare l'Amministrazione SEAM".

2. Fare clic sulla scheda "Nomi principali".

   Viene visualizzato l'elenco dei nomi principali.

   

3. Per visualizzare un nome principale specifico o un sottoinsieme dei nomi principali, inserire una stringa di filtro nel campo "Tipo di filtro" e premere Return. Verrà visualizzato l'elenco dei nomi principali corrispondenti al filtro specificato.

   La stringa utilizzata come filtro deve contenere uno o più caratteri. Poiché il meccanismo di filtro distingue tra maiuscole e minuscole, è necessario usare le lettere nella forma appropriata. Ad esempio, se si inserisce la stringa gi, il meccanismo di filtro visualizzerà solo i nomi principali contenenti esattamente la stringa gi (ad esempio, gianni o cugino).

   Per visualizzare l'elenco completo dei nomi principali, fare clic su "Cancella filtro".

Esempio: Visualizzazione dell'elenco dei nomi principali (riga di comando)

L'esempio seguente utilizza il comando list_principals di kadmin per elencare tutti i nomi principali che corrispondono a test*. Il comando list_principals accetta l'uso di caratteri speciali.

kadmin: list_principals test*
test1@SPA.IT
test2@SPA.IT
kadmin: quit

Visualizzare gli attributi di un nome principale

Dopo la descrizione della procedura è presentato un esempio della stessa operazione dalla riga di comando.

1. Se necessario, avviare l'Amministrazione SEAM.

   Per maggiori dettagli, vedere "Avviare l'Amministrazione SEAM".

2. Fare clic sulla scheda "Nomi principali".

3. Selezionare dall'elenco il nome principale che si desidera visualizzare e fare clic su Modifica.

   Viene aperta la finestra "Informazioni sul nome principale" contenente alcuni degli attributi del nome principale.

4. Fare clic su Avanti per visualizzare tutti gli attributi del nome principale.

   Le informazioni sugli attributi sono visualizzate in tre finestre. Per ottenere informazioni sui vari attributi di ogni finestra, scegliere "Guida contestuale" dal menu Guida. Oppure, per avere una descrizione di tutti gli attributi dei nomi principali, vedere "Descrizione delle finestre dell'Amministrazione SEAM".

5. Dopo avere visualizzato gli attributi di interesse, fare clic su Annulla.

Esempio: Visualizzazione degli attributi di un nome principale

L'esempio seguente mostra la prima finestra che compare visualizzando il nome principale jdb/admin.

Esempio: Visualizzazione degli attributi di un nome principale (riga di comando)

L'esempio seguente utilizza il comando get_principal di kadmin per visualizzare gli attributi del nome principale jdb/admin.

kadmin: getprinc jdb/admin
Nome principale: jdb/admin@SPA.IT
Data di scadenza: ven 25 ago 17:19:05 MET 2000
Ultima modifica della password: [mai]
Data di scadenza della password: mer 14 apr 11:53:10 MET 1999
Durata massima del ticket: 1 giorno 16:00:00
Durata massima del rinnovo: 1 giorno 16:00:00
Ultima modifica: gio 14 gen 11:54:09 MET 1999 (admin/admin@SPA.IT)
Ultima autenticazione riuscita: [mai]
Ultima autenticazione non riuscita: [mai]
Tentativi non riusciti con la password: 0
Numero di chiavi: 1
Chiave: vno 1, DES cbc mode with CRC-32, nessun arricchimento
Attributi: REQUIRES_HW_AUTH
Criteri: [nessuno]
kadmin: quit

Creare un nuovo nome principale

Dopo la descrizione della procedura è presentato un esempio della stessa operazione dalla riga di comando.

1. Se necessario, avviare l'Amministrazione SEAM.

   Per maggiori dettagli, vedere "Avviare l'Amministrazione SEAM".

   ---

   Nota -

   Se si sta creando un nuovo nome principale che potrebbe richiedere nuovi criteri, i nuovi criteri dovranno essere creati prima della creazione del nome principale. Vedere "Creare nuovi criteri".

   ---

2. Fare clic sulla scheda "Nomi principali".

3. Fare clic su Crea.

   Viene aperta la finestra "Informazioni sul nome principale" contenente alcuni degli attributi del nome principale.

4. Specificare un nome principale e una password.

   Sia il nome principale che la password sono obbligatori.

5. Specificare i valori per gli attributi del nome principale e fare clic su Avanti per specificare altri attributi.

   Le informazioni sugli attributi sono visualizzate in tre finestre. Per ottenere informazioni sui vari attributi di ogni finestra, scegliere "Guida contestuale" dal menu Guida. Oppure, per avere una descrizione di tutti gli attributi dei nomi principali, vedere "Descrizione delle finestre dell'Amministrazione SEAM".

6. Fare clic su Salva per salvare il nome principale, oppure su Fatto nell'ultima finestra.

7. Se necessario, configurare i privilegi di amministrazione di Kerberos per il nuovo nome principale nel file /etc/krb5/kadm5.acl.

   Per maggiori dettagli, vedere "Modificare i privilegi di amministrazione Kerberos".

Esempio: Creazione di un nuovo nome principale

L'esempio seguente mostra la finestra "Informazioni sul nome principale" durante la creazione di un nuovo nome principale di nome test. I criteri sono correntemente impostati su prova1.

Esempio: Creazione di un nuovo nome principale (riga di comando)

L'esempio seguente utilizza il comando add_principal di kadmin per creare un nuovo nome principale di nome test. I criteri associati al nome principale sono impostati su prova1.

kadmin: add_principal -policy prova1 test
Inserire la password per il nome principale "test@SPA.IT": <inserire la password>
Reinserire la password per il nome principale "test@SPA.IT":  <reinserire la password>
Nome principale "test@SPA.IT" creato.
kadmin: quit

Duplicare un nome principale

Questa procedura spiega come usare tutti o alcuni degli attributi di un nome principale esistente per creare un nuovo nome principale. Per questa procedura non esiste un equivalente dalla riga di comando.

1. Se necessario, avviare l'Amministrazione SEAM.

   Per maggiori dettagli, vedere "Avviare l'Amministrazione SEAM".

2. Fare clic sulla scheda "Nomi principali".

3. Selezionare il nome principale che si desidera duplicare nell'elenco e fare clic su Duplica.

   Viene aperta la finestra "Informazioni sul nome principale". Verranno duplicati tutti gli attributi del nome principale selezionato ad eccezione dei campi "Nome principale" e "Password", che sono vuoti.

4. Specificare un nome principale e una password.

   Sia il nome principale che la password sono obbligatori. Se si desidera creare una copia esatta del nome principale selezionato, fare clic su Salva e passare all'ultimo punto.

5. Specificare valori differenti per gli attributi del nome principale e fare clic su Avanti per specificare altri attributi.

   Le informazioni sugli attributi sono visualizzate in tre finestre. Per ottenere informazioni sui vari attributi di ogni finestra, scegliere "Guida contestuale" dal menu Guida. Oppure, per avere una descrizione di tutti gli attributi dei nomi principali, vedere "Descrizione delle finestre dell'Amministrazione SEAM".

6. Fare clic su Salva per salvare il nome principale, oppure fare clic su Fatto nell'ultima finestra.

7. Se necessario, configurare i privilegi di amministrazione di Kerberos per il nome principale nel file /etc/krb5/kadm5.acl.

   Per maggiori dettagli, vedere "Modificare i privilegi di amministrazione Kerberos".

Modificare un nome principale

Dopo la descrizione della procedura viene presentato un esempio della stessa operazione dalla riga di comando.

1. Se necessario, avviare l'Amministrazione SEAM.

   Per maggiori dettagli, vedere "Avviare l'Amministrazione SEAM".

2. Fare clic sulla scheda "Nomi principali".

3. Selezionare dall'elenco il nome principale che si desidera modificare e fare clic su Modifica.

   Viene aperta la finestra "Informazioni sul nome principale" contenente alcuni attributi del nome principale.

4. Modificare gli attributi del nome principale e fare clic su Avanti per modificare altri attributi.

   Le informazioni sugli attributi sono visualizzate in tre finestre. Per ottenere informazioni sui vari attributi di ogni finestra, scegliere "Guida contestuale" dal menu Guida. Oppure, per avere una descrizione di tutti gli attributi dei nomi principali, vedere "Descrizione delle finestre dell'Amministrazione SEAM".

   ---

   Nota -

   Non è possibile modificare il nome del nome principale. Per rinominare un nome principale, è necessario duplicarlo, specificare un nuovo nome, salvarlo ed eliminare il vecchio nome principale.

   ---

5. Fare clic su Salva per salvare il nome principale, oppure fare clic su Fatto nell'ultima finestra.

6. Modificare i privilegi di amministrazione di Kerberos per il nome principale nel file /etc/krb5/kadm5.acl.

   Per maggiori dettagli, vedere "Modificare i privilegi di amministrazione Kerberos".

Esempio: Modifica della password di un nome principale (riga di comando)

L'esempio seguente utilizza il comando change_password di kadmin per modificare la password per il nome principale jdb. change_password non permette di impostare una password che sia già stata utilizzata per lo stesso nome principale.

kadmin: change_password jdb
Inserire la password per il nome principale "jdb": <inserire la nuova password>
Reinserire la password per il nome principale "jdb": <reinserire la password>
Password per "jdb@SPA.IT" modificata.
kadmin: quit

Per modificare altri attributi per un nome principale, è necessario usare il comando modify_principal di kadmin.

Eliminare un nome principale

Dopo la descrizione della procedura verrà presentato un esempio della stessa operazione dalla riga di comando.

1. Se necessario, avviare l'Amministrazione SEAM.

   Per maggiori dettagli, vedere "Avviare l'Amministrazione SEAM".

2. Fare clic sulla scheda "Nomi principali".

3. Specificare il nome principale dell'elenco che si desidera eliminare e fare clic su Elimina.

   Dopo aver confermato l'eliminazione, il nome principale verrà eliminato.

4. Rimuovere il nome principale dal file delle ACL di Kerberos, /etc/krb5/kadm5.acl.

   Per maggiori dettagli, vedere "Modificare i privilegi di amministrazione Kerberos".

Esempio: Eliminazione di un nome principale (riga di comando)

L'esempio seguente utilizza il comando delete_principal di kadmin per eliminare il nome principale jdb.

kadmin: delete_principal test
Confermare l'eliminazione del nome principale "test@SPA.IT"? (sì/no): sì
Il nome principale "test@SPA.IT" è stato eliminato.
Verificare di avere rimosso questo nome principale da tutte le ACL prima di riutilizzarlo.
kadmin: quit

Configurare le impostazioni predefinite per la creazione di nuovi nomi principali

Per questa procedura non vi sono equivalenti dalla riga di comando.

1. Se necessario, avviare l'Amministrazione SEAM.

   Per maggiori dettagli, vedere "Avviare l'Amministrazione SEAM".

2. Scegliere Proprietà dal menu Modifica.

   Viene aperta la finestra Proprietà.

   

3. Selezionare le impostazioni predefinite che si desidera applicare nella creazione di nuovi nomi principali.

   Per ottenere informazioni sui vari attributi di ogni finestra, scegliere "Guida contestuale" dal menu Guida.

4. Fare clic su Salva.

Modificare i privilegi di amministrazione Kerberos

Anche se nel sito sono configurati numerosi nomi principali di utenti, in genere solo alcuni di questi utenti sono autorizzati ad amministrare il database di Kerberos. I privilegi per l'amministrazione del database di Kerberos sono determinati dal file delle liste di controllo degli accessi (ACL) di Kerberos, kadm5.acl(4). Il file kadm5.acl permette di assegnare o revocare i privilegi per singoli nomi principali; oppure, è possibile usare il carattere speciale '*' nel nome principale per specificare i privilegi per gruppi di nomi principali.

1. Diventare superutente sul KDC master.

2. Aprire con un editor il file /etc/krb5/kadm5.acl.

   Le voci del file kadm5.acl devono avere il seguente formato:

   nome_principale privilegi [target_nome_principale]

   nome_principale	È il nome principale a cui vengono assegnati i privilegi. Qualunque parte del nome principale può contenere il carattere '*', utile per assegnare gli stessi privilegi ad un gruppo di nomi principali. Ad esempio, se si desidera specificare tutti i nomi principali con l'istanza admin, occorrerà usare */admin@settore. In molti casi, l'istanza admin viene usata per assegnare privilegi separati (come l'accesso di amministrazione al database di Kerberos) a un nome principale separato di Kerberos. Ad esempio, l'utente jdb potrebbe avere un nome principale separato per l'uso amministrativo, denominato jdb/admin. In questo modo, jdb potrà ottenere i ticket per jdb/admin solo quando avrà effettivamente bisogno di usare tali privilegi.
   privilegi	Specifica quali operazioni possono e non possono essere eseguite dal nome principale. È una stringa contenente uno o più caratteri tra quelli sotto elencati, minuscoli o maiuscoli. Se il carattere è maiuscolo (o non è specificato), l'operazione corrispondente non può essere eseguita. Se il carattere è minuscolo, l'operazione è consentita.
   	a	[Dis]abilita l'aggiunta di nomi principali o criteri.
   	d	[Dis]abilita l'eliminazione di nomi principali o criteri.
   	m	[Dis]abilita la modifica di nomi principali o criteri.
   	c	[Dis]abilita la modifica delle password per i nomi principali.
   	i	[Dis]abilita le interrogazioni al database.
   	l	[Dis]abilita la visualizzazione degli elenchi dei nomi principali o dei criteri nel database.
   	x o *	Assegna tutti i privilegi (admcil).
   target_nome_principale	Se in questo campo viene specificato un nome principale, i privilegi vengono applicati al nome_principale solo quando questo opera sul target_nome_principale. Qualunque parte del nome principale può contenere il carattere speciale '*', utile per raggruppare più nomi principali con caratteristiche comuni.

Esempio: Modifica dei privilegi di amministrazione di Kerberos

La riga seguente nel file kadm5.acl assegna a tutti i nomi principali del settore SPA.IT con l'istanza admin tutti i privilegi per il database.

*/admin@SPA.IT *

La riga seguente nel file kadm5.acl assegna al nome principale jdb@SPA.IT i privilegi per aggiungere, visualizzare ed eseguire interrogazioni su tutti i nomi principali con l'istanza root.

jdb@SPA.IT ali */root@SPA.IT