Verwalten von Hauptbenutzern

In diesem Abschnitt werden schrittweise Anweisungen für die Verwaltung von Hauptbenutzern mit dem SEAM Tool bereitgestellt. Außerdem werden, wenn möglich, Beispiele für Befehlszeilen-Äquivalente aufgeführt, indem nach jeder Prozedur der Befehl kadmin ausgeführt wird.

Aufgabentabelle zur Verwaltung von Hauptbenutzern

Automatisieren der Erstellung neuer Hauptbenutzer

Obwohl das SEAM Tool einfach zu verwenden ist, ermöglicht es nicht die Automatisierung der Erstellung neuer Hauptbenutzer. Die Automatisierung ist besonders hilfreich, wenn Sie in kurzer Zeit zehn oder sogar 100 neue Hauptbenutzer hinzufügen müssen. Durch die Ausführung des Befehls kadmin.local in einem Bourne Shell-Skript können Sie genau dies erreichen.

Die folgende Zeile eines Shell-Skripts stellt ein Beispiel für diesen Vorgang dar:

time /usr/krb5/sbin/kadmin.local> /dev/null

Dieses Beispiel wurde auf 2 Zeilen aufgeteilt, um die Lesbarkeit zu erhöhen. Dieses Skript liest eine Datei namens hauptbenutzernamen ein, die Hauptbenutzernamen und ihre Paßwörter enthält und fügt diese zur Kerberos-Datenbank hinzu. Sie müßten die Datei hauptbenutzernamen erstellen, die in jeder Zeile einen Hauptbenutzernamen und das dazugehörige Paßwort enthalten muß, die durch ein oder mehrere Leerzeichen getrennt werden. Die Option +needchange konfiguriert den Hauptbenutzer, damit der Benutzer zur Eingabe eines neuen Paßworts aufgefordert wird, wenn er sich zum ersten Mal mit dem Hauptbenutzer anmeldet, was dabei hilft sicherzustellen, daß die Paßwörter in der Datei hauptbenutzernamen kein Sicherheitsrisiko darstellen.

Dies ist nur ein Bespiel. Sie können ausführlichere Skripts erstellen, indem Sie die Informationen des Namen-Services verwenden, um die Liste mit Benutzernamen für die Hauptbenutzernamen abzurufen. Was Sie tun und wie Sie vorgehen, hängt von den Anforderungen Ihrer Site und Ihren Erfahrungen bei der Skripterstellung ab.

Anzeigen der Hauptbenutzerliste

Ein Beispiel für das entsprechende Befehlszeilen-Äquivalent folgt auf diese Prozedur.

1. Starten Sie bei Bedarf das SEAM Tool.

   Weitere Informationen finden Sie unter "Starten des SEAM Tool".

2. Klicken Sie auf die Registerkarte Hauptbenutzer.

   Die Liste der Hauptbenutzer wird angezeigt.

   

3. Geben Sie eine Filterzeichenfolge in das Feld Filtermuster ein, und drücken Sie die Eingabetaste, um einen bestimmten Hauptbenutzer oder eine Unterliste mit Hauptbenutzern anzuzeigen. Bei erfolgreicher Anwendung des Filters wird die Liste mit den Hauptbenutzern angezeigt, die mit dem Filter übereinstimmen.

   Die Filterzeichenfolge muß aus einem oder mehreren Zeichen bestehen. Da der Filtermechanismus zwischen Groß- und Kleinschreibung unterscheidet, müssen Sie die entsprechenden Groß- oder Kleinbuchstaben für den Filter verwenden. Wenn Sie z. B. die Filterzeichenfolge ge eingeben, zeigt der Filtermechanismus nur Hauptbenutzer an, die die Zeichenfolge ge enthalten (beispielweise georg oder lage).

   Wenn Sie die vollständige Liste mit Hauptbenutzern anzeigen möchten, klicken Sie auf Filter löschen.

Beispiel--Anzeigen der Hauptbenutzerliste (Befehlszeile)

Das folgende Beispiel verwendet den Befehllist_principals von kadmin, um alle Hauptbenutzer aufzuführen, die mit test* übereinstimmen. Mit dem Befehl list_principals können auch Platzhalter verwendet werden.

kadmin: list_principals test*
test1@ACME.COM
test2@ACME.COM
kadmin: quit

Anzeigen der Hauptbenutzerattribute

Ein Beispiel für das entsprechende Befehlszeilen-Äquivalent folgt auf diese Prozedur.

1. Starten Sie bei Bedarf das SEAM Tool.

   Weitere Informationen finden Sie unter "Starten des SEAM Tool".

2. Klicken Sie auf die Registerkarte Hauptbenutzer.

3. Wählen Sie den anzuzeigenden Hauptbenutzer in der Liste, und klicken Sie auf Ändern.

   Der Bildschirm Grundeinstellungen für Hauptbenutzer wird angezeigt, der einige Attribute des Hauptbenutzers enthält.

4. Klicken Sie weiter auf Nächstes, um alle Attribute des Hauptbenutzers anzuzeigen.

   Es sind drei Fenster mit Attributinformationen vorhanden. Wählen Sie aus dem Menü Hilfe den Befehl Kontextsensitive Hilfe, um Informationen über die verschiedenen Attribute in jedem Fenster abzurufen. Beschreibungen zu allen Hauptbenutzerattributen erhalten Sie unter "SEAM Tool Bildschirmbeschreibungen".

5. Wenn Sie mit der Anzeige fertig sind, klicken Sie auf Abbrechen.

Beispiel--Anzeigen der Hauptbenutzerattribute

Das folgende Beispiel zeigt das erste Fenster, wenn der Hauptbenutzer jdb/admin angezeigt wird.

Beispiel--Anzeigen der Hauptbenutzerattribute (Befehlszeile)

Das folgende Beispiel verwendet den Befehl get_principal von kadmin , um die Attribute des Hauptbenutzers jdb/admin anzuzeigen.

kadmin: getprinc jdb/admin
Hauptbenutzer: jdb/admin@ACME.COM
Ablaufdatum: Fre Aug 25 17:19:05 MEZ 2000
Letzte Paßwortänderung: [nie]
Ablaufdatum für Paßwort: Mit Apr 14 11:53:10 MEZ 1999
Maximale Lebensdauer des Tickets: 1 Tag 16:00:00
Maximale erneuerbare Lebensdauer: 1 Tag 16:00:00
Letzte Änderung: Don Jan 14 11:54:09 PST 1999 (admin/admin@ACME.COM)
Letzte erfolgreiche Authentisierung: [nie]
Letzte fehlgeschlagene Authentisierung: [nie]
Fehlgeschlagene Paßwortversuche: 0
Schlüsselanzahl: 1
Schlüssel: vno 1, DES cbc-Modus mit CRC-32, keine salt
Attribute: REQUIRES_HW_AUTH
Richtlinie: [keine]
kadmin: quit

Erstellen eines neuen Hauptbenutzers

Ein Beispiel für das entsprechende Befehlszeilen-Äquivalent folgt auf diese Prozedur.

1. Starten Sie bei Bedarf das SEAM Tool.

   Weitere Informationen finden Sie unter "Starten des SEAM Tool".

   ---

   Hinweis -

   Wenn Sie einen neuen Hauptbenutzer erstellen, der eine neue Richtlinie benötigt, dann sollten Sie die Richtlinie vor dem neuen Hauptbenutzer erstellen. Gehe zu "Erstellen einer neuen Richtlinie".

   ---

2. Klicken Sie auf die Registerkarte Hauptbenutzer.

3. Klicken Sie auf Neu.

   Der Bildschirm Grundeinstellungen für Hauptbenutzer wird angezeigt, der einige Attribute des Hauptbenutzers enthält.

4. Legen Sie ein Hauptbenutzernamen und ein Paßwort fest.

   Sowohl der Hauptbenutzername als auch das Paßwort sind erforderlich.

5. Legen Sie Werte für die Attribute des Hauptbenutzers fest, und klicken Sie dann auf Nächstes, um weitere Attribute festzulegen.

   Es sind drei Fenster mit Attributinformationen vorhanden. Wählen Sie aus dem Menü Hilfe den Befehl Kontextsensitive Hilfe, um Informationen über die verschiedenen Attribute in jedem Fenster abzurufen. Beschreibungen zu allen Hauptbenutzerattributen erhalten Sie unter "SEAM Tool Bildschirmbeschreibungen".

6. Klicken Sie auf Speichern, um den Hauptbenutzer zu speichern, oder klicken Sie auf dem letzten Bildschirm auf Fertig.

7. Richten Sie bei Bedarf Kerberos-Verwaltungsberechtigungen für den neuen Hauptbenutzer in der Datei /etc/krb5/kadm5.acl ein.

   Weitere Informationen finden Sie unter "Ändern der Kerberos-Verwaltungsberechtigungen".

Beispiel -- Erstellen eines neuen Hauptbenutzers

Das folgende Beispiel zeigt bei der Erstellung eines neuen Hauptbenutzers namens pak den Bildschirm für die Grundeinstellungen des Hauptbenutzers an. Bis jetzt wurde testuser (Testbenutzer) als Richtlinie festgelegt.

Beispiel -- Erstellen eines neuen Hauptbenutzers (Befehlszeile)

Das folgende Beispiel verwendet den Befehl add_principal von kadmin, um einen neuen Hauptbenutzer namens pak zu erstellen. Für die Richtlinie des Hauptbenutzers wurde testuser (Testbenutzer) festgelegt.

kadmin: add_principal -policy testuser pak
Geben Sie das Paßwort für Hauptbenutzer "pak@ACME.COM" ein: <Paßwort eingeben>
Geben Sie das Paßwort für Hauptbenutzer "pak@ACME.COM" erneut ein: <Paßwort erneut eingeben>
Hauptbenutzer "pak@ACME.COM" wurde erstellt.
kadmin: quit

Duplizieren eines Hauptbenutzers

Diese Prozedur erläutert, wie alle oder einige Attribute eines vorhandenen Hauptbenutzers dazu verwendet werden können, um einen neuen Hauptbenutzer zu erstellen. Für diese Prozedur gibt es kein Befehlszeilen-Äquivalent.

1. Starten Sie bei Bedarf das SEAM Tool.

   Weitere Informationen finden Sie unter "Starten des SEAM Tool".

2. Klicken Sie auf die Registerkarte Hauptbenutzer.

3. Wählen Sie den zu duplizierenden Hauptbenutzer in der Liste, und klicken Sie auf Duplizieren.

   Der Bildschirm Grundeinstellungen für Hauptbenutzer wird angezeigt. Alle Attribute des ausgewählten Hauptbenutzers werden mit Ausnahme der Felder für Hauptbenutzername und Paßwort kopiert, die leer sind.

4. Legen Sie ein Hauptbenutzernamen und ein Paßwort fest.

   Sowohl der Hauptbenutzername als auch das Paßwort sind erforderlich. Wenn Sie eine exakte Kopie des ausgewählten Hauptbenutzers erstellen möchten, klicken Sie auf Speichern und gehen bis zum letzten Schritt vor.

5. Legen Sie unterschiedliche Werte für die Attribute des Hauptbenutzers fest, und klicken Sie dann auf Nächstes, um weitere Attribute festzulegen.

   Es sind drei Fenster mit Attributinformationen vorhanden. Wählen Sie aus dem Menü Hilfe den Befehl Kontextsensitive Hilfe, um Informationen über die verschiedenen Attribute in jedem Fenster abzurufen. Beschreibungen zu allen Hauptbenutzerattributen erhalten Sie unter "SEAM Tool Bildschirmbeschreibungen".

6. Klicken Sie auf Speichern, um den Hauptbenutzer zu speichern, oder klicken Sie auf dem letzten Bildschirm auf Fertig.

7. Richten Sie bei Bedarf Kerberos-Verwaltungsberechtigungen für den Hauptbenutzer in der Datei /etc/krb5/kadm5.acl ein.

   Weitere Informationen finden Sie unter "Ändern der Kerberos-Verwaltungsberechtigungen".

Ändern eines Hauptbenutzers

Ein Beispiel für das entsprechende Befehlszeilen-Äquivalent folgt auf diese Prozedur.

1. Starten Sie bei Bedarf das SEAM Tool.

   Weitere Informationen finden Sie unter "Starten des SEAM Tool".

2. Klicken Sie auf die Registerkarte Hauptbenutzer.

3. Wählen Sie den zu ändernden Hauptbenutzer in der Liste, und klicken Sie auf Ändern.

   Der Bildschirm Grundeinstellungen für Hauptbenutzer wird angezeigt, der einige Attribute des Hauptbenutzers enthält.

4. Ändern Sie die Attribute des Hauptbenutzers, und klicken Sie dann auf Nächstes, um weitere Attribute zu ändern.

   Es sind drei Fenster mit Attributinformationen vorhanden. Wählen Sie aus dem Menü Hilfe den Befehl Kontextsensitive Hilfe, um Informationen über die verschiedenen Attribute in jedem Fenster abzurufen. Beschreibungen zu allen Hauptbenutzerattributen erhalten Sie unter "SEAM Tool Bildschirmbeschreibungen".

   ---

   Hinweis -

   Der Name eines Hauptbenutzers kann nicht geändert werden. Sie müssen den Hauptbenutzer kopieren, einen neuen Namen für diesen festlegen und dann den alten Hauptbenutzer löschen, um einen Hauptbenutzer umzubenennen.

   ---

5. Klicken Sie auf Speichern, um den Hauptbenutzer zu speichern, oder klicken Sie auf dem letzten Bildschirm auf Fertig.

6. Ändern Sie die Kerberos-Verwaltungsberechtigungen für den Hauptbenutzer in der Datei /etc/krb5/kadm5.acl.

   Weitere Informationen finden Sie unter "Ändern der Kerberos-Verwaltungsberechtigungen".

Beispiel -- Ändern eines Hauptbenutzerpaßworts (Befehlszeile)

Im folgenden Beispiel wird der Befehl change_password von kadmin verwendet, um das Paßwort für den Hauptbenutzer jdb zu ändern. Mit change_password können Sie kein Paßwort angeben, das sich im Paßwortverlauf des Hauptbenutzers befindet.

kadmin: change_password jdb
Geben Sie das Paßwort für Hauptbenutzer "jdb" ein: <Neues Paßwort eingeben>
Geben Sie das Paßwort für Hauptbenutzer "jdb" erneut ein: <Paßwort erneut eingeben>
Das Paßwort für "jdb@ACME.COM" wurde geändert.
kadmin: quit

Sie müssen den Befehl modify_principal von kadmin verwenden, um weitere Attribute für einen Hauptbenutzer zu ändern.

Löschen eines Hauptbenutzers

Ein Beispiel für das entsprechende Befehlszeilen-Äquivalent folgt auf diese Prozedur.

1. Starten Sie bei Bedarf das SEAM Tool.

   Weitere Informationen finden Sie unter "Starten des SEAM Tool".

2. Klicken Sie auf die Registerkarte Hauptbenutzer.

3. Wählen Sie den zu löschenden Hauptbenutzer in der Liste, und klicken Sie auf Löschen.

   Nachdem Sie den Löschvorgang bestätigt haben, wird der Hauptbenutzer gelöscht.

4. Entfernen Sie den Hauptbenutzer aus der Datei /etc/krb5/kadm5.acl für die Kerberos ACLs.

   Weitere Informationen finden Sie unter "Ändern der Kerberos-Verwaltungsberechtigungen".

Beispiel -- Löschen eines Hauptbenutzers (Befehlszeile)

Im folgenden Beispiel wird der Befehl delete_principal von kadmin verwendet, um den Hauptbenutzer jdb zu löschen.

kadmin: delete_principal pak
Sind Sie sicher, daß Sie den Hauptbenutzer "pak@ACME.COM" löschen möchten? (Ja/Nein): Ja
Hauptbenutzer "pak@ACME.COM" wurde gelöscht.
Stellen Sie sicher, daß Sie diesen Hauptbenutzer vor der erneuten 
Verwendung aus allen ACLs (Zugriffsteuerungslisten) entfernt haben.
kadmin: quit

Einrichten von Standardwerten für die Erstellung neuer Hauptbenutzer

Für diese Prozedur gibt es kein Befehlszeilen-Äquivalent.

1. Starten Sie bei Bedarf das SEAM Tool.

   Weitere Informationen finden Sie unter "Starten des SEAM Tool".

2. Wählen Sie im Menü Bearbeiten den Befehl Eigenschaften aus.

   Das Fenster Eigenschaften wird angezeigt.

   

3. Wählen Sie die Standardwerte, die Sie für die Erstellung neuer Hauptbenutzer verwenden möchten.

   Wählen Sie aus dem Menü Hilfe den Befehl Kontextsensitive Hilfe, um Informationen über die verschiedenen Attribute in jedem Fenster abzurufen.

4. Klicken Sie auf Speichern.

Ändern der Kerberos-Verwaltungsberechtigungen

Obwohl Ihre Site sicherlich über viele Benutzer-Hauptbenutzer verfügt, möchten Sie normalerweise nur einigen von ihnen die Möglichkeit zur Verwaltung der Kerberos-Datenbank bieten. Die Berechtigungen für die Verwaltung der Kerberos-Datenbank werden in der Datei für die Kerberos-Zugriffssteuerungsliste (ACL, Access Control List), kadm5.acl(4), bestimmt. Mit der Datei kadm5.acl können Sie Berechtigungen für einzelne Hauptbenutzer erteilen oder zurücknehmen. Sie können auch den Platzhalter '*' in Hauptbenutzernamen verwenden, um Berechtigungen für Hauptbenutzergruppen festzulegen.

1. Melden Sie sich als Superuser für das Master-KDC an.

2. Bearbeiten Sie die Datei /etc/krb5/kadm5.acl.

   Einträge in der Datei kadm5.acl müssen das folgende Format besitzen:

   Hauptbenutzer Berechtigungen [Hauptbenutzer_Ziel]

   Hauptbenutzer	Der Hauptbenutzer, dem die Berechtigungen erteilt werden. Jeder Teil des Hauptbenutzernamens kann den Platzhalter '*' einbeziehen, der bei der Erteilung derselben Berechtigungen zu einer Hauptbenutzergruppe hilfreich ist. Wenn Sie z. B. alle Hauptbenutzer mit der Instanz admin festlegen möchten, verwenden Sie */admin@Bereich. Beachten Sie, daß eine häufige Verwendung der Instanz admin die Erteilung separater Berechtigungen (wie der Verwaltungszugriff auf die Kerberos-Datenbank) für einen separatem Kerberos-Hauptbenutzer darstellt. Der Benutzer jdb könnte z. B. einen Hauptbenutzer namens jdb/admin für diese Verwaltungsaufgabe besitzen. Auf diese Weise erhält jdb Tickets für jdb/admin nur, wenn er diese Berechtigungen tatsächlich verwenden muß.
   Berechtigungen	Legen fest, welche Operationen vom Hauptbenutzer durchgeführt werden können. Sie bestehen aus einer Zeichenfolge aus einem oder mehreren Zeichen der folgenden Liste oder ihren Entsprechungen in Großbuchstaben. Wenn es sich bei dem Zeichen um einen Großbuchstaben handelt (oder es nicht angegeben wurde), dann wurde die Operation abgelehnt. Ein Kleinbuchstabe als Zeichen weist auf eine zugelassene Operation hin.
   	a	Erlaubt das Hinzufügen von Hauptbenutzern und Richtlinien [nicht].
   	d	Erlaubt das Löschen von Hauptbenutzern und Richtlinien [nicht].
   	m	Erlaubt das Ändern von Hauptbenutzern und Richtlinien [nicht].
   	c	Erlaubt das Ändern von Paßwörtern für Hauptbenutzer [nicht].
   	i	Erlaubt Anfragen bei der Datenbank [nicht].
   	l	Erlaubt das Aufführen von Hauptbenutzern und Richtlinien [nicht].
   	x or *	Erlaubt alle Berechtigungen (admcil
   Hauptbenutzer_Ziel	Wenn in diesem Feld ein Hauptbenutzer festgelegt wurde, werden die Berechtigungen nur dann dem Hauptbenutzer zugewiesen, wenn er auf dem Hauptbenutzer_Ziel aktiv ist. Jeder Teil des Hauptbenutzernamens kann den Platzhalter '*' enthalten, der bei der Gruppierung von Hauptbenutzern hilfreich ist.

Beispiel--Ändern der Kerberos-Verwaltungsberechtigungen

Mit dem folgenden Eintrag in der Datei kadm5.acl werden jedem Hauptbenutzer im Bereich ACME.COM mit der Instanz admin alle Berechtigungen für die Datenbank erteilt.

*/admin@ACME.COM *

Mit dem folgenden Eintrag in der Datei kadm5.acl wird dem Hauptbenutzer jdb@ACME.COM die Berechtigung zum Hinzufügen und Aufführen erteilt sowie die Berechtigung, um Anfragen zu jedem Hauptbenutzer zu stellen, erteilt, der die Instanz root besitzt.

jdb@ACME.COM ali */root@ACME.COM