Administración de principales

Este apartado proporciona instrucciones paso a paso para administrar los principales mediante SEAM Tool, así como ejemplos equivalentes de línea de comandos (cuando estén disponibles) mediante el comando kadmin después de cada procedimiento.

Mapa de tareas de la administración de principales

Automatización de la creación de principales

Aunque SEAM Tool facilita el uso, no proporciona una forma de automatizar la creación de principales nuevos. La automatización es especialmente útil si necesita agregar diez o incluso cien principales nuevos en una cantidad breve de tiempo. No obstante, puede hacer exactamente eso mediante el comando kadmin.local en una secuencia de shell Bourne. kadmin.local

La línea de secuencia de shell siguiente es un ejemplo de cómo hacer esto:

sed -e 's/^\(.*\)$/ank +needchange -pw \1 \1/' < nombresprin |
        time /usr/krb5/sbin/kadmin.local> /dev/null

Este ejemplo se ha dividido en dos líneas para facilitar su lectura. Esta secuencia lee un archivo denominado nombresprin que contiene los nombres de los principales y sus contraseñas y los agrega a la base de datos de Kerberos. Sería necesario que creara el archivo nombresprin para que contenga un nombre de principal y su contraseña en cada línea, separados por uno o varios espacios. La opción +needchange configura el principal para que se solicite una nueva contraseña al usuario cuando inicie una sesión con el principal por primera vez, cosa que ayuda a garantizar que las contraseñas del archivo nombresprin no sean un riesgo de seguridad.

Esto sólo es un ejemplo. Puede crear secuencias más complicadas que, por ejemplo, utilicen la información del servicio de nombres para obtener la lista de los nombres de usuario para los nombres de principal. Lo que haga y cómo lo haga depende de las necesidades de su ubicación y de su experiencia en la creación de secuencias.

Visualización de la lista de principales

Un ejemplo del equivalente de línea de comandos correspondiente sigue a este procedimiento.

1. Si fuera necesario, inicie SEAM Tool.

   Para más detalles, véase "Inicio de SEAM Tool".

2. Haga clic en la pestaña Principales.

   Aparecerá la lista de principales.

   

3. Para mostrar un principal específico o una sublista de principales, introduzca una cadena de filtrado en el campo Patrón filtro y pulse Intro. Si el filtro es satisfactorio, aparecerá la lista de principales que concuerdan con él.

   La cadena de filtro debe constar de uno o varios caracteres. Como el mecanismo de filtro es sensible a mayúsculas y minúsculas, es necesario que utilice las letras en mayúsculas y minúsculas apropiadas para el filtro. Por ejemplo, si escribe la cadena de filtro ge, el mecanismo de filtro sólo mostrará los principales que contengan la cadena ge (por ejemplo, jorge o gerardo).

   Si desea mostrar la lista de principales completa, haga clic en Borrar filtro.

Ejemplo: visualización de la lista de principales (línea de comandos)

El ejemplo siguiente utiliza el comando list_principals de kadmin para enumerar todos los principales que concuerden con prueba*. En el comando list_principals se pueden utilizar comodines.

kadmin: list_principals prueba*
prueba1@ACME.COM 
prueba2@ACME.COM 
kadmin: quit

Visualización de los atributos de un principal

Un ejemplo del equivalente de línea de comandos correspondiente sigue a este procedimiento.

1. Si fuera necesario, inicie SEAM Tool.

   Para más detalles, véase "Inicio de SEAM Tool".

2. Haga clic en la pestaña Principales.

3. Seleccione el principal que desea ver en la lista y haga clic en Modificar.

   Aparece el panel Propiedades básicas de principal, con algunos de los atributos del principal.

4. Siga haciendo clic en Siguiente para ver todos los atributos del principal.

   La información de los atributos se incluye en tres ventanas. Para obtener información sobre los diversos atributos de cada ventana, elija Ayuda específica sobre el contexto en el menú Ayuda. O bien vaya a "Descripciones de los paneles de SEAM Tool" para obtener las descripciones de todos los atributos de principal.

5. Cuando haya terminado de visualizarlos, haga clic en Cancelar.

Ejemplo: visualización de los atributos de un principal

El ejemplo siguiente muestra la primera ventana que se abre del principal jdb/admin.

Ejemplo: visualización de los atributos de un principal (línea de comandos)

El ejemplo siguiente utiliza el comando get_principal de kadmin para ver los atributos del principal jdb/admin.

kadmin: getprinc jdb/admin
Principal: jdb/admin@ACME.COM 
Fecha de caducidad: Vie 25 Ago 17:19:05 PDT 2000 
Último cambio de contraseña: [nunca] 
Fecha de caducidad de contraseña: Mie 14 Abr 11:53:10 PDT 1999 
Vida máxima de cupón: 1 día 16:00:00 
Vida máxima renovable: 1 día 16:00:00 
Última modificación: Jue 14 Ene 11:54:09 PST 1999 (admin/admin@ACME.COM) 
Última autenticación satisfactoria: [nunca] 
Última autenticación no satisfactoria: [nunca] 
Intentos de contraseña fallidos: 0 
Número de claves: 1 
Clave: vno 1, modalidad cbc de DES con CRC-32, sin sal 
Atributos: REQUIRES_HW_AUTH 
Norma: [ninguna] 
kadmin: quit

Creación de un principal nuevo

Un ejemplo del equivalente de línea de comandos correspondiente sigue a este procedimiento.

1. Si fuera necesario, inicie SEAM Tool.

   Para más detalles, véase "Inicio de SEAM Tool".

   ---

   Nota -

   Si crea un principal nuevo que puede necesitar una norma nueva, debería crear ésta antes que el principal. Vaya a "Creación de una norma nueva".

   ---

2. Haga clic en la pestaña Principales.

3. Haga clic en Nuevo.

   Aparecerá el panel Propiedades básicas de principal, con algunos de los atributos de un principal.

4. Especifique un nombre de principal y una contraseña.

   Ambos son obligatorios.

5. Especifique los valores para los atributos del principal y siga haciendo clic en Siguiente para especificar más atributos.

   La información de los atributos se incluye en tres ventanas. Para obtener información sobre los diversos atributos de cada ventana, elija Ayuda específica sobre el contexto en el menú Ayuda. O bien vaya a "Descripciones de los paneles de SEAM Tool" para obtener las descripciones de todos los atributos de principal.

6. Haga clic en Guardar para guardar el principal o haga clic en Terminar en el último panel.

7. Si fuera necesario, defina los privilegios de administración de Kerberos para el principal nuevo en el archivo /etc/krb5/kadm5.acl.

   Véase "Modificación de los privilegios de administración de Kerberos" para más detalles.

Ejemplo: creación de un principal nuevo

El ejemplo siguiente muestra el panel Propiedades básicas de principal cuando se crea un principal nuevo llamado pak. De momento, se ha definido la norma como usuarioprueba.

Ejemplo: creación de un principal nuevo (línea de comandos)

El ejemplo siguiente utiliza el comando add_principal de kadmin para crear un principal nuevo llamado pak. La norma del principal está definida como usuarionuevo.

kadmin: add_principal -policy usuarionuevo pak
Escriba la contraseña para el principal "pak@ACME.COM": <escriba la contraseña>
Vuelva a escribir la contraseña para el principal "pak@ACME.COM":  <vuelva a escribir la contraseña>
Principal "pak@ACME.COM" creado. 
kadmin: quit

Duplicación de principal

Este procedimiento explica cómo utilizar todos o algunos de los atributos de un principal existente para crear un principal nuevo. No hay ningún equivalente de línea de comandos para este procedimiento.

1. Si fuera necesario, inicie SEAM Tool.

   Para más detalles, véase "Inicio de SEAM Tool".

2. Haga clic en la pestaña Principales.

3. Seleccione el principal que desea duplicar en la lista y haga clic en Duplicar.

   Aparecerá el panel Propiedades básicas de principal. Se duplicarán todos los atributos del principal seleccionado excepto los campos Nombre de principal y Contraseña, que están vacíos.

4. Especifique un nombre de principal y una contraseña.

   Ambos son obligatorios. Si desea realizar un duplicado exacto del principal seleccionado, haga clic en Guardar y salte al último paso.

5. Especifique valores diferentes para los atributos del principal y siga haciendo clic en Siguiente para especificar más atributos.

   La información de los atributos se incluye en tres ventanas. Para obtener información sobre los diversos atributos de cada ventana, elija Ayuda específica sobre el contexto en el menú Ayuda. O bien vaya a "Descripciones de los paneles de SEAM Tool" para obtener las descripciones de todos los atributos de principal.

6. Haga clic en Guardar para guardar el principal o haga clic en Terminar en el último panel.

7. Si fuera necesario, defina los privilegios de administración de Kerberos para el principal en el archivo /etc/krb5/kadm5.acl.

   Véase "Modificación de los privilegios de administración de Kerberos" para más detalles.

Modificación de un principal

Un ejemplo del equivalente de línea de comandos correspondiente sigue a este procedimiento.

1. Si fuera necesario, inicie SEAM Tool.

   Para más detalles, véase "Inicio de SEAM Tool".

2. Haga clic en la pestaña Principales.

3. Seleccione el principal que desea modificar en la lista y haga clic en Modificar.

   Aparecerá el panel Propiedades básicas de principal con algunos de los atributos del principal.

4. Modifique los atributos del principal y siga haciendo clic en Siguiente para modificar más atributos.

   La información de los atributos se incluye en tres ventanas. Para obtener información sobre los diversos atributos de cada ventana, elija Ayuda específica sobre el contexto en el menú Ayuda. O bien vaya a "Descripciones de los paneles de SEAM Tool" para obtener las descripciones de todos los atributos de principal.

   ---

   Nota -

   No es posible modificar el nombre de un principal. Para hacer esto, debe duplicarlo, especificar un nuevo nombre, guardarlo y luego suprimir el principal antiguo.

   ---

5. Haga clic en Guardar para guardar el principal o haga clic en Terminar en el último panel.

6. Modifique los privilegios de administración de Kerberos para el principal en el archivo /etc/krb5/kadm5.acl.

   Véase "Modificación de los privilegios de administración de Kerberos" para más detalles.

Ejemplo: modificación de la contraseña de un principal (línea de comandos)

El ejemplo siguiente utiliza el comando change_password de kadmin para cambiar la contraseña del principal jdb. change_password no permite cambiar la contraseña por una que esté en la historia de contraseñas del principal.

kadmin: change_password jdb
Escriba la contraseña del principal "jdb": <escriba la contraseña nueva>
Vuelva a escribir la contraseña del principal "jdb": <vuelva a escribir la contraseña>
Contraseña para "jdb@ACME.COM" cambiada. 
kadmin: quit

Para modificar otros atributos de un principal, debe utilizar el comando modify_principal de kadmin.

Supresión de un principal

Un ejemplo del equivalente de línea de comandos correspondiente sigue a este procedimiento.

1. Si fuera necesario, inicie SEAM Tool.

   Para más detalles, véase "Inicio de SEAM Tool".

2. Haga clic en la pestaña Principales.

3. Especifique el principal que desea suprimir en la lista y haga clic en Suprimir.

   Después de confirmar la supresión, se eliminará el principal.

4. Elimine el principal de la lista de LCA de Kerberos, /etc/krb5/kadm5.acl.

   Véase "Modificación de los privilegios de administración de Kerberos" para más detalles.

Ejemplo: Supresión de un principal (línea de comandos)

El ejemplo siguiente utiliza el comando delete_principal de kadmin para suprimir el principal jdb.

kadmin: delete_principal pak
¿Quiere suprimir el principal "pak@ACME.COM"? (sí/no): sí
Principal "pak@ACME.COM" suprimido. 
Asegúrese de que ha eliminado este principal de todas las LCA antes de volverlo a utilizar. 
kadmin: quit

Configuración de los valores predeterminados para crear principales nuevos

No hay ningún equivalente de línea de comandos para este procedimiento.

1. Si fuera necesario, inicie SEAM Tool.

   Para más detalles, véase "Inicio de SEAM Tool".

2. Elija Propiedades en el menú Editar.

   Aparecerá la ventana Propiedades.

   

3. Seleccione los valores predeterminados que desee al crear los principales nuevos.

   Para obtener información sobre los diversos atributos de cada ventana, elija Ayuda específica sobre el contexto en el menú Ayuda.

4. Haga clic en Guardar.

Modificación de los privilegios de administración de Kerberos

Es probable que su sede tenga muchos principales de usuario, pero habitualmente querrá que sólo unos pocos usuarios puedan administrar la base de datos de Kerberos. Los privilegios para administrar ésta vienen determinados por el archivo de Lista de control de acceso (LCA) de Kerberos, kadm5.acl(4). En el archivo kadm5.acl puede permitir o rehusar los privilegios para determinados principales; o también se puede utilizar el comodín '*' para especificar los privilegios para grupos de principales.

1. Conviértase en superusuario en el KDC maestro.

2. Edite el archivo /etc/krb5/kadm5.acl.

   Las entradas del archivo kadm5.acl deben tener el formato siguiente:

   principal privilegios [destino_principal]

   principal	El principal al que se conceden los privilegios. Cualquier parte del nombre del principal puede incluir el comodín '*', que resulta útil para proporcionar los mismos privilegios a un grupo de principales. Por ejemplo, si desea especificar todos los principales con el ejemplar admin, podría utilizar */admin@ámbito. Tenga en cuenta que un uso habitual de un ejemplar de admin es la concesión de privilegios independientes a un principal de Kerberos independiente (como el acceso de administración a la base de datos de Kerberos). Por ejemplo, el usuario jdb podría tener un principal para su uso administrativo llamado jdb/admin. De esta forma, jdb únicamente obtiene los cupones de jdb/admin cuando necesita utilizar esos privilegios.
   privilegios	Especifica qué operaciones puede o no puede llevar a cabo el principal. Se trata de una cadena de uno o varios de la lista de caracteres siguientes y sus correspondientes mayúsculas. Si el carácter está en mayúsculas (o no se especifica), no se permitirá la operación. Si el carácter está en minúsculas, se permitirá la operación.
   	a	[No] permite la adición de principales o normas.
   	d	[No] permite la supresión de principales o normas.
   	m	[No] permite la modificación de principales o normas.
   	c	[No] permite el cambio de las contraseñas de los principales.
   	i	[No] permite las consultas de la base de datos.
   	l	[No] permite los listados de los principales o las normas de la base de datos.
   	x o *	Permite todos los privilegios (admcil).
   destino_principal	Cuando se especifica un principal en este campo, los privilegios sólo se aplican al principal cuando trabaje en el destino_principal. Cualquier parte del nombre de principal puede incluir el comodín '*', cosa que resulta útil para agrupar los principales.

Ejemplo: modificación de los privilegios de administración de Kerberos

La entrada siguiente del archivo kadm5.acl proporciona todos los privilegios de la base de datos a cualquier principal del ámbito ACME.COM con el ejemplar admin.

*/admin@ACME.COM *

La entrada siguiente del archivo kadm5.acl proporciona al principal jdb@ACME.COM el privilegio para agregar, listar y hacer consultas sobre cualquier principal que tenga el ejemplar root.

jdb@ACME.COM ali */root@ACME.COM