Administrera principaler

Det här avsnittet innehåller stegvisa instruktioner för hur du administrerar principaler med SEAM Tool. Avsnittet innehåller även exempel på kommandoradsekvivalenter där de finns, med kommandot kadmin efter varje procedur.

Uppgiftsöversikt för administrering av principaler

Automatisera skapandet av nya principaler

Även om SEAM Tool är lätt att använda finns det ingen funktion för att automatisera skapandet av nya principaler. Automatisering är särskilt användbart när du behöver lägga till tio eller kanske 100 nya principaler på kort tid. Du kan dock automatisera genom att använda kommandot kadmin.local i en kommandofil i ett Bourne-skal.

Ett exempel är följande rad i en kommandofil:

sed -e 's/^\(.*\)$/ank +needchange -pw \1 \1/' < princnamn |
         time /usr/krb5/sbin/kadmin.local> /dev/null

Exemplet har delats upp på två rader för läsbarhetens skull. Kommandofilen läser in filen princnamn, som innehåller principalnamn med tillhörande lösenord och lägger till dem i Kerberos-databasen. För att kunna köra kommandofilen hade du behövt skapa filen princnamn med ett principalnamn och dess lösenord per rad, avgränsade av ett eller flera blanksteg. Alternativet +needchange konfigurerar principalen så att användaren tillfrågas om ett nytt lösenord när han eller hon loggar in med principalen första gången. Det gör att lösenorden i filen princnamn inte utgör någon säkerhetsrisk.

Det här är bara ett exempel. Du kan skapa mer utförliga kommandofiler, t ex för att använda informationen i namntjänsten för att hämta listan över användarnamn för principalnamnen. Vad du gör och hur du gör begränsas bara av dina behov och dina kunskaper om kommandofiler.

Så här visar du listan över principaler

Efter den här proceduren följer ett exempel på motsvarande kommandoradsekvivalent.

1. Om det behövs startar du SEAM Tool.

   Mer information finns i "Så här startar du SEAM Tool".

2. Klicka på fliken Principaler.

   Listan över principaler visas.

   

3. Om du vill visa en viss principal eller en filtrerad lista över principaler, anger du en filtersträng i fältet Filtermönster och trycker på Retur. Om filtret fungerar visas en lista över matchande principaler.

   Filtersträngen måste bestå av ett eller flera tecken. Eftersom filtermekanismen är skiftlägeskänslig måste du använda passande stora och små bokstäver för filtret. Om du t ex matar in filtersträngen jo, kommer filtermekanismen bara att visa principaler som innehåller strängen jo (t ex johan eller jobb).

   Om du vill visa hela listan över principaler klickar du på Radera filtret.

Exempel - Visa listan över principaler (kommandorad)

I följande exempel används kommandot list_principals i kadmin för att visa en lista över alla principaler som matchar test*. Det går att använda jokertecken med kommandot list_principals.

kadmin: list_principals test*
test1@ACME.COM
test2@ACME.COM
kadmin: quit

Så här visar du attributen för en principal

Efter den här proceduren följer ett exempel på motsvarande kommandoradsekvivalent.

1. Om det behövs startar du SEAM Tool.

   Mer information finns i "Så här startar du SEAM Tool".

2. Klicka på fliken Principaler.

3. Markera önskad principal i listan och klicka på Ändra.

   Panelen Grundinställningar för principaler visas med en del av attributen för principalen.

4. Klicka på Nästa för att visa alla attribut för principalen.

   Det finns tre fönster som innehåller attributinformation. Välj Funktionsrelaterad hjälp på Hjälp-menyn för att visa information om de olika attributen i de olika fönstren. Du kan även gå till "Beskrivning av panelerna i SEAM Tool" för en beskrivning av alla principalattribut.

5. När du är klar klickar du på Avbryt.

Exempel - Visa attributen för en principal

I följande exempel visas första fönstret när principalen jdb/admin visas.

Exempel - Visa attributen för en principal (kommandorad)

I följande exempel används kommandot get_principal i kadmin för att visa attributen för principalen jdb/admin.

kadmin: getprinc jdb/admin
Principal: jdb/admin@ACME.COM
Sista användningsdag: fre 25 aug 17:19:05 PDT 2000
Senaste ändring av lösenord: [aldrig]
Sista användningsdag för lösenord: ons 14 apr 11:53:10 PDT 1999
Maximal livslängd för biljett: 1 dag 16:00:00
Maximal förnyelsebar livslängd: 1 dag 16:00:00
Senast ändrad: tor 14 jan 11:54:09 PST 1999 (admin/admin@ACME.COM)
Senast lyckade äkthetskontroll: [aldrig]
Senast misslyckade äkthetskontroll: [aldrig]
Misslyckade lösenordsförsök: 0
Antal nycklar: 1
Nyckel: vno 1, DES cbc-läge med CRC-32, inget salt
Attribut: REQUIRES_HW_AUTH
Policy: [ingen]
kadmin: quit

Så här skapar du en ny principal

Efter den här proceduren följer ett exempel på motsvarande kommandoradsekvivalent.

1. Om det behövs startar du SEAM Tool.

   Mer information finns i "Så här startar du SEAM Tool".

   ---

   Obs!

   Om du skapar en ny principal som kan behöva en ny policy, bör du skapa den nya policyn innan du skapar principalen. Gå till "Så här skapar du en ny policy".

   ---

2. Klicka på fliken Principaler.

3. Klicka på Ny.

   Panelen Grundinställningar för principaler visas med en del av attributen för principalen.

4. Ange principalnamn och lösenord.

   Principalnamnet och lösenordet är obligatoriska.

5. Ange värden för principalens attribut och fortsätt genom att klicka på Nästa och ange fler attribut.

   Det finns tre fönster som innehåller attributinformation. Välj Funktionsrelaterad hjälp på Hjälp-menyn för att visa information om de olika attributen i de olika fönstren. Du kan även gå till "Beskrivning av panelerna i SEAM Tool" för beskrivningar av alla principalattribut.

6. Spara principalen genom att klicka på Spara, eller klicka på Klar på sista panelen.

7. Om det behövs anger du administrationsbehörighet för Kerberos för den nya principalen i filen /etc/krb5/kadm5.acl.

   Mer information finns i "Så här ändrar du administrationsbehörighet för Kerberos".

Exempel - Skapa en ny principal

I följande exempel visas panelen Grundsinställningar för principaler när den nya principalen pak skapas. Policyn är än så länge angiven till testanvändare.

Exempel - Skapa en ny principal (kommandorad)

I följande exempel används kommandot add_principal i kadmin för att skapa den nya principalen pak. Principalens policy är angiven till testanvändare.

kadmin: add_principal -policy testanvändare pak
Ange lösenord för principalen "pak@ACME.COM": <skriv lösenordet>
Ange lösenordet på nytt för principalen "pak@ACME.COM":  <skriv lösenordet en gång till>
Principalen "pak@ACME.COM" har skapats.
kadmin: quit

Så här duplicerar du en principal

Förklaringen till den här proceduren visar hur du skapar en ny principal genom att använda alla eller en del av attributen för en befintlig principal. Det finns inga kommandoradsekvivalenter för proceduren.

1. Om det behövs startar du SEAM Tool.

   Mer information finns i "Så här startar du SEAM Tool".

2. Klicka på fliken Principaler.

3. Markera önskad principal i listan och klicka på Duplicera.

   Panelen Grundinställningar för principaler visas. Alla attribut för den markerade principalen dupliceras förutom de tomma fälten Principalnamn och Lösenord.

4. Ange principalnamn och lösenord.

   Principalnamnet och lösenordet är obligatoriska. Om du vill göra en exakt kopia av den markerade principalen klickar du på Spara och hoppar över sista steget.

5. Ange olika värden för principalens attribut och fortsätt genom att klicka på Nästa och ange fler attribut.

   Det finns tre fönster som innehåller attributinformation. Välj Funktionsrelaterad hjälp på Hjälp-menyn för att visa information om de olika attributen i de olika fönstren. Du kan även gå till "Beskrivning av panelerna i SEAM Tool" för en beskrivning av alla principalattribut.

6. Spara principalen genom att klicka på Spara, eller klicka på Klar på sista panelen.

7. Om det behövs anger du administrationsbehörighet för Kerberos principalen i filen /etc/krb5/kadm5.acl.

   Mer information finns i "Så här ändrar du administrationsbehörighet för Kerberos".

Så här ändrar du en principal

Efter den här proceduren följer ett exempel på motsvarande kommandoradsekvivalent.

1. Om det behövs startar du SEAM Tool.

   Mer information finns i "Så här startar du SEAM Tool".

2. Klicka på fliken Principaler.

3. Markera önskad principal i listan och klicka på Ändra.

   Panelen Grundinställningar för principaler visas med en del av attributen för principalen.

4. Ändra principalens attribut och fortsätt genom att klicka på Nästa och ändra fler attribut.

   Det finns tre fönster som innehåller attributinformation. Välj Funktionsrelaterad hjälp på Hjälp-menyn för att visa information om de olika attributen i de olika fönstren. Du ka även gå till "Beskrivning av panelerna i SEAM Tool" för beskrivningar av alla principalattribut.

   ---

   Obs!

   Det går inte att ändra namn på en principal. Om du vill ändra namn på en principal måste du duplicera den, ange ett nytt namn och spara den, och sedan ta bort den gamla principalen.

   ---

5. Spara principalen genom att klicka på Spara, eller klicka på Klar på sista panelen.

6. Ändra administrationsbehörighet för Kerberos principalen i filen /etc/krb5/kadm5.acl.

   Mer information finns i "Så här ändrar du administrationsbehörighet för Kerberos".

Exempel - Ändra lösenord för en principal (kommandorad)

I följande exempel används kommandot change_password i kadmin för att ändra lösenordet för principalen jdb. Du kan inte ändra lösenordet till ett som finns i principalens lösenordshistorik med change_password.

kadmin: change_password jdb
Ange lösenord för principalen "jdb": <skriv lösenordet>
Ange lösenordet på nytt för principalen "jdb": <skriv lösenordet på nytt>
Lösenordet för "jdb@ACME.COM" har ändrats.
kadmin: quit

Om du vill ändra andra attribut för en principal måste du använda kommandot modify_principal i kadmin.

Så här tar du bort en principal

Efter den här proceduren följer ett exempel på motsvarande kommandoradsekvivalent.

1. Om det behövs startar du SEAM Tool.

   Mer information finns i "Så här startar du SEAM Tool".

2. Klicka på fliken Principaler.

3. Markera önskad principal i listan och klicka på Ta bort.

   Principalen tas bort när du bekräftar borttagningen.

4. Ta bort principalen ur ACL-filen för Kerberos, /etc/krb5/kadm5.acl.

   Mer information finns i "Så här ändrar du administrationsbehörighet för Kerberos".

Exempel - Ta bort en principal (kommandorad)

I följande exempel används kommandot delete_principal i kadmin för att ta bort principalen jdb.

kadmin: delete_principal pak
Är du säker på att du vill ta bort principalen "pak@ACME.COM"? (ja/nej): ja
Principalen "pak@ACME.COM" tas bort.
Kontrollera att du har tagit bort denna principal från alla ACL innan du återanvänder den.
kadmin: quit

Så här ställer du in standardvärden för nya principaler som skapas

Det finns inga kommandoradsekvivalenter för proceduren.

1. Om det behövs startar du SEAM Tool.

   Mer information finns i "Så här startar du SEAM Tool".

2. Välj Egenskaper på Redigera-menyn.

   Egenskapsfönstret visas.

   

3. Markera önskade standardvärden för nya principaler.

   Välj Funktionsrelaterad hjälp på Hjälp-menyn för att visa information om de olika attributen i de olika fönstren.

4. Klicka på Spara.

Så här ändrar du administrationsbehörighet för Kerberos

Du vill troligen bara att ett fåtal av användarna ska ha behörighet att administrera Kerberos-databasen när din plats har många användarprincipaler. Behörighet att administrera Kerberos-databasen bestäms av filen för behörighetslistan för Kerberos, kadm5.acl(4). Med filen kadm5.acl kan du ge olika behörighet för olika principaler. Du kan även använda jokertecknet "*" i principalnamnet för att ange behörighet för grupper av principaler.

1. Växla till superanvändare på huvud-KDC:n.

2. Redigera filen /etc/krb5/kadm5.acl.

   Poster i filen kadm5.acl måste anges med följande format:

   principal behörighet [principalmål]

   principal	Principalen som ges behörighet. Valfri del av principalnamnet kan innehålla jokertecknet "*", vilket är användbart när du ska samma behörighet till en grupp principaler. Om du t ex vill ange alla principaler som innehåller admin skriver du */admin@användarkategori. Det är vanligt att admin används för att ge viss behörighet (t ex administrativ åtkomst till Kerberos-databasen) för en enskild Kerberos-principal. Användaren jdb kan t ex ha en principal för administration som heter jdb/admin. På så sätt får jdb biljetter för jdb/admin bara när han eller hon verkligen behöver använda behörigheten.
   behörighet	Anger vad principalen får och inte får utföra. Det här är en sträng med en eller flera av tecken ur följande lista eller tecknens versala motsvarigheter. Om tecknet är versalt (eller inte angivet) tillåts inte åtgärden. Om tecknet är gement tillåts åtgärden.
   	a	Tillåter att principaler och policies läggs till.
   	d	Tillåter att principaler och policies tas bort.
   	m	Tillåter att principaler och policies ändras.
   	c	Tillåter ändring av lösenord för principaler.
   	i	Tillåter förfrågningar i databasen.
   	l	Tillåter att principaler och policies listas i databasen.
   	x eller *	Ger full behörighet (admcil).
   principalmål	När en principal anges i det här fältet gäller behörighet endast principal när den utför åtgärder på principalmål. Jokertecknet "*" kan anges på valfri plats i principalnamnet om du vill gruppera principaler.

Exempel - Ändra administrationsbehörighet för Kerberos

Följande post i filen kadm5.acl ger alla principaler i användarkategorin ACME.COM som har admin so en del av sina namn fullständig behörighet till database.

*/admin@ACME.COM *

Följande post i filen kadm5.acl ger principalen jdb@ACME.COM behörighet att lägga till, lista och fråga om valfri principal som har root som en del av namnet.

jdb@ACME.COM ali */root@ACME.COM