Name des Hauptbenutzers 

Der Name des Hauptbenutzers (primär/ instanz des voll qualifizierten Hauptbenutzernamens). Ein Hauptbenutzer stellt eine eindeutige Identität dar, der das KDC Tickets zuweisen kann.

Wenn Sie einen Hauptbenutzer ändern, können Sie jedoch nicht seinen Hauptbenutzernamen bearbeiten. 

Paßwort 

Das Paßwort des Hauptbenutzers. Sie können die Schaltfläche Zufälliges Paßwort erzeugen verwenden, um ein Paßwort für den Hauptbenutzer zufällig zu vergeben. 

Richtlinie 

Ein Menü der für den Hauptbenutzer verfügbaren Richtlinien. 

Konto läuft ab 

Datum und Uhrzeit für den Ablauf des Kontos des Hauptbenutzers. TGT (Ticket-granting-Ticket) mehr empfangen und sich nicht mehr anmelden.\n 

Letzte Änderung des Hauptbenutzers  

Das Datum, an dem zuletzt Informationen für den Hauptbenutzer geändert wurden. (Schreibgeschützt) 

Zuletzt geändert von 

Der Name des Hauptbenutzers, der zuletzt den Zugang für diesen Hauptbenutzer geändert hat. (Schreibgeschützt) 

Kommentare 

Auf den Hauptbenutzer bezogene Kommentare (z.B. 'Zeitweiliges Konto') 

Letzter Erfolg 

Datum und Uhrzeit der letzten erfolgreichen Anmeldung des Hauptbenutzers. (Schreibgeschützt) 

Letzter Fehler 

Datum und Uhrzeit, an dem der letzte Anmeldefehler des Hauptbenutzers aufgetreten ist. (Schreibgeschützt) 

Fehlerzähler 

Die Häufigkeit der Anmeldefehler für den Hauptbenutzer. (Schreibgeschützt) 

Letzte Änderung des Paßworts 

Datum und Zeit, an dem das Paßwort des Hauptbenutzers zuletzt geändert wurde. (Schreibgeschützt) 

Zeitpunkt des Ablaufens des Paßworts 

Datum und Uhrzeit des Ablaufs des aktuellen Paßworts. 

Schlüssel-Version 

Die Schlüssel-Versionsnummer für den Hauptbenutzer; dies wird normalerweise nur geändert, wenn das Paßwort nicht mehr geheim ist. 

Maximale Lebensdauer (Sekunden) 

Die maximale Zeit, die für ein Ticket eines Hauptbenutzers gewährt werden kann (ohne Erneuerung). 

Maximale Erneuerung (Sekunden) 

Die maximale Zeit, in der ein vorhandenes Ticket für einen Hauptbenutzer erneuert werden kann. 

Konto deaktivieren 

Wenn diese Option markiert ist, kann sich der Hauptbenutzer nicht anmelden. Auf diese Weise kann ein Hauptbenutzerkonto einfach aus einem beliebigen Grund temporär "eingefroren" werden. 

Änderung des Paßworts anfordern 

Wenn diese Option markiert ist, läuft das aktuelle Paßwort des Hauptbenutzers ab, wodurch der Benutzer dazu gezwungen ist, den Befehl kpasswd zu verwenden, um ein neues Paßwort zu erstellen. Dies ist hilfreich, wenn eine Sicherheitsverletzung vorhanden ist, und Sie sicherstellen müssen, daß alte Paßwörter ersetzt werden.

Nachdatierte Tickets zulassen 

Wenn aktiviert, kann der Hauptbenutzer nachdatierte Tickets erhalten.  

Wenn Sie z. B. nachdatierte Tickets für Cron-Aufträge verwenden müssen, die nach Feierabend ausgeführt werden, und Sie wegen der kurzen Lebensdauer der Tickets keine Tickets im voraus abrufen können. 

Weiterreichen von Tickets zulassen 

Wenn aktiviert, kann der Hauptbenutzer weiterreichbare Tickets erhalten. 

Weiterreichbare Tickets sind Tickets, die an den entfernten Host weitergeleitet werden, um eine Sitzung mit einmaliger Anmeldung bereitzustellen. Wenn Sie z. B. weiterreichbare Tickets verwenden und sich selbst über ftp oder rsh authentisieren, sind andere Dienste, wie der NFS-Dienst, verfügbar, ohne daß Sie nach einem anderen Paßwort gefragt werden.

Erneuerbare Tickets zulassen 

Wenn aktiviert, kann der Hauptbenutzer erneuerbare Tickets erhalten. 

Ein Hauptbenutzer kann das Ablaufdatum oder die Ablaufzeit eines erneuerbaren Tickets automatisch verlängern (anstatt ein neues Ticket abzurufen, nachdem das erste abgelaufen ist). Momentan ist der NFS-Service der einzige Service, der Tickets erneuern kann. 

Vollmachten-Tickets zulassen 

Wenn aktiviert, kann der Hauptbenutzer Vollmachten-Tickets erhalten. 

Ein Vollmachten-Ticket ist ein Ticket, daß im Auftrag eines Client von einem Dienst verwendet werden kann, um eine Operation für den Client durchzuführen. Mit einem Vollmachten-Ticket kann ein Dienst die Identität eines Clients annehmen und ein Ticket für einen anderen Dienst empfangen, jedoch kann es kein Ticket-granting Ticket erhalten. 

Dienste-Tickets zulassen 

Wenn diese Option markiert ist, können Dienste-Tickets für den Hauptbenutzer ausgestellt werden. 

Dienste-Tickets sollten nicht für die Hauptbenutzer kadmin/hostname und changepw/hostname ausgestellt werden. Dadurch wird sichergestellt, daß diese Hauptbenutzer nur die KDC-Datenbank aktualisieren können.

TGT-basierte Authentisierung zulassen 

Wenn diese Option markiert ist, kann der Dienste-Hauptbenutzer für andere Hauptbenutzer Dienste bereitstellen. Genauer gesagt, ermöglicht sie dem KDC ein Dienste-Ticket für den Dienste-Hauptbenutzer auszustellen. 

Dieses Attribut ist nur für Dienste-Hauptbenutzer gültig. Wenn diese Option nicht markiert ist, können keine Dienste-Tickets für den Dienste-Hauptbenutzer ausgegeben werden. 

Zweifache Authentisierung zulassen 

Wenn diese Option markiert ist, kann der Benutzer-Hauptbenutzer für andere Benutzer-Hauptbenutzer Dienste-Tickets entgegennehmen. 

Dieses Attribut ist nur für Benutzer-Hauptbenutzer gültig. Wenn diese Option nicht markiert ist, kann der Benutzer-Hauptbenutzer auch weiterhin Dienste-Tickets für Dienste-Hauptbenutzer, jedoch nicht für andere Benutzer-Hauptbenutzer entgegebennehmen. 

Erforderliche Vorauthentisierung 

Wenn diese Option markiert ist, sendet das KDC kein angefordertes Ticket-granting Ticket (TGT) an den Hauptbenutzer, bevor es nicht bestätigen konnte (mittels Software), daß es sich wirklich um den Hauptbenutzer handelt, der das TGT anfordert. Diese Pre-Authentisierung wird normalerweise über ein zusätzliches Paßwort erreicht, z. B. von einer DES-Karte. 

Wenn diese Option nicht markiert ist, muß das KDC für den Hauptbenutzer keine Pre-Authentisierung durchführen, bevor es ein angefordertes TGT an ihn sendet. 

Erforderliche Hardware-Authentisierung 

Wenn diese Option markiert ist, sendet das KDC kein angefordertes Ticket-granting Ticket (TGT) an den Hauptbenutzer, bevor es nicht bestätigen konnte (mittels Hardware), daß es sich wirklich um den Hauptbenutzer handelt, der das TGT anfordert. Die Hardware-Pre-Authentisierung könnte z. B. einem Java-Ringreader ähnlich sein. 

Wenn diese Option nicht markiert ist, muß das KDC für den Hauptbenutzer keine Pre-Authentisierung durchführen, bevor es ein angefordertes TGT an ihn sendet. 

Name der Richtlinie 

Der Name der Richtlinie. Eine Richtlinie stellt eine Reihe von Regeln dar, die das Paßwort und die Tickets eines Hauptbenutzers behandeln. 

Beim Ändern einer Richtlinie können Sie den Namen der Richtlinie nicht bearbeiten. 

Mindestlänge für Paßwort 

Die minimale Länge des Paßworts einer Richtlinie. 

Mindestklassen für Paßwort 

Die Mindestanzahl der unterschiedlichen Zeichenarten, die im Paßwort des Hauptbenutzers vorhanden sein müssen. 

Bei einem Wert für die minimale Anzahl der Klasse von z. B. 2, bedeutet dies, daß ein Paßwort mindestens zwei unterschiedliche Zeichenarten besitzen muß, wie beispielsweise Buchstaben und Zahlen (hi2mom). Bei einem Wert von 3 bedeutet dies, daß ein Paßwort mindestens drei unterschiedliche Zeichenarten besitzen muß, wie beispielsweise Buchstaben, Zahlen und Satzzeichen (hi2mom!) usw.  

Ein Wert von 1 legt grundsätzlich keine Einschränkung für die Anzahl der im Paßwort erforderlichen Zeichenarten fest. 

Historie für gespeicherte Paßwörter 

Die Anzahl früherer, vom Hauptbenutzer verwendeter Paßwörter, die nicht wiederverwendet werden können. 

Minimale Lebensdauer für Paßwörter (Sekunden) 

Die Mindestzeit, die ein Paßwort verwendet werden muß, bevor es geändert werden kann. 

Maximale Lebensdauer für Paßwörter (Sekunden) 

Die Höchstzeit, die ein Paßwort verwendet werden kann, bevor es geändert werden muß. 

Hauptbenutzer, die diese Richtlinie verwenden 

Die Anzahl der Hauptbenutzer, für die diese Richtlinie z.Z. gültig ist. (Schreibgeschützt)