SEAM 管理工具
SEAM 管理工具是一種互動式的圖形使用者介面 (GUI),讓您用來維護 Kerberos 主管及政策。它的功能和 kadmin 指令相同。不過它並不支援密鑰表的管理。您必須使用 kadmin 指令來管理密鑰表,在 "管理密鑰表" 中加以詳述。
正如 kadmin 指令一樣,SEAM Tool 使用 Kerberos 辯證及加密的 RPC 來在網路之上任何一處安全操作。您可以利用 SEAM Tool 來進行下列工作﹕
-
以預設值或現存的主管為基礎以建立新的主管
-
以現存的政策為基礎以建立新的政策
-
新增主管的註解
-
設定建立新主管的預設值
-
不必結束工具而以另一位主管登入
-
列印或儲存主管及政策清單
-
檢視與搜尋主管及政策清單
SEAM Tool 同時也提供與上下文相關的說明及一般性的說明。
下列工作對映圖可以提供您利用 SEAM Tool 所進行的各項工作的指標﹕
同時,請到 "SEAM Tool 面板說明" 以取得有關您可以在 SEAM 工具中指定或檢視的所有主管及政策屬性的說明。
SEAM Tool 的指令行對等指令
本節列出功能與 SEAM Tool 相同的 kadmin 指令,並且可以在不執行 X Window 系統的情況下使用。雖然本章中大部份的程序都使用 SEAM Tool,許多程序中也包括使用指令行對等指令的相應範例。
表 5-1 SEAM Tool 的指令行對等指令|
程序 |
kadmin 指令 |
|---|---|
|
檢視主管清單 |
list_principals或 get_principals |
|
檢視一位主管的屬性 |
get_principal |
|
建立一個新的政策 |
add_principal |
|
複製一位主管 |
沒有指令行對等指令 |
|
修改一位主管 |
modify_principal 及 change_password |
|
刪除一位主管 |
delete_principal |
|
設定建立新主管的預設值 |
沒有指令行對等指令 |
|
檢視政策清單 |
list_policies 或 get_policies |
|
檢視一個政策的屬性 |
get_policy |
|
建立一個新的政策 |
add_policy |
|
修改一個政策 |
modify_policy |
|
複製一個政策 |
沒有指令行對等指令 |
|
刪除一個政策 |
delete_policy |
SEAM Tool 所修改的檔案
SEAM Tool 所修改的唯一檔案就是 $HOME/.gkadmin檔案。其中包含建立新主管的預設值,而且可以從「編輯」功能表中選取「內容」來加以更新。
SEAM Tool 的列印及線上「說明」功能
SEAM Tool 可以提供列印及線上說明的功能。您可以從「列印」功能表中將下列內容傳至一個印表機或或檔案中﹕
-
指定的主 KDC 指示可用的主管清單
-
指定的主 KDC 指示可用的政策清單
-
目前選定或載入的主管
-
目前選定或載入的政策
您可以從「說明」功能表中取得與上下文相關的說明以及一般性的說明。當您從「說明」功能表中選取「與上下文相關的說明」時,「與上下文相關的說明」視窗就會顯示出來,而工具會被切換為說明模式。在說明模式中,當您按一下視窗上的任何一個欄位、標籤、或按鈕,有關該項目的說明內容就會顯示在「說明」視窗當中。要切換回工具的普通模式,請按一下「說明」視窗中的「撤銷」按鈕。
您也可以選取「說明內容」來開啟一個 HTML 瀏覽器,以尋找本章所提及的一般性概觀及工作資訊的指標。
在 SEAM Tool 中使用大型清單
隨著您的網站開始逐漸累積大量的主管及政策,SEAM 工具用來載入與顯示主管及政策清單的時間會愈來愈長,而且也會減緩使用此工具的生產效力。有數種因應之道。
首先,不讓 SEAM 工具執行載入清單的工作而完全省卻載入清單的時間。您可以從「編輯」功能表中選取「內容」並且取消「顯示清單」欄位的核選以設定此選項。當然,當工具不載入清單時,它便無法將清單顯示出來,而您也就無法使用清單面板來選擇主管或政策。相反地,您必須在新名稱欄位中輸入一個主管或政策名稱,然後再選擇您想要執行的操作。基本上,輸入名稱的動作和從清單中選擇一個項目的功效是相等的。
另一個使用大型清單的方法是將它們快取緩衝。事實上,SEAM 工具預設的行為是在有限的時間內快取清單。在一開始 SEAM 工具仍然必須將清單載入快取記憶體,但是之後工具就可以直接使用快取記憶體,而不需要再次擷取清單。因此就省卻了一直從伺服器載入清單的麻煩,自然也就不必花那麼多的時間了。
您可以從「編輯」功能表中選取「內容」來設定清單的快取。快取設定值共有兩種。您可以選擇要永遠快取清單,或者可以指定一個時間限制,好讓工具再從伺服器將清單重新載入快取記憶體中。
即使在快取清單之後,您還是可以使用清單面板來選擇主管及政策,所以不會像第一個選項那樣影響您使用 SEAM Tool。同時,即使快取會讓您無法看見其他人的變更,您還是可以從您的變更來查看最新的清單資訊,因為您的變更會同時更新伺服器及快取記憶體中的清單。而且,如果您想要更新快取記憶體來查看其他人的變更,以取得清單的最新版本,您可以在想要從伺服器刷新快取記憶體時使用「刷新」功能表。
如何開始 SEAM Tool
-
使用 gkadmin 指令以開始 SEAM Tool。
$ /usr/krb5/sbin/gkadmin
-
如果您不想使用預設值,請指定新的預設值。
「登入」視窗中會自動填入預設值。預設的主管名稱是從 USER 環境變數取得您目前的身份然後將 /admin 附加其上而得(使用者名稱/admin)。預設的範疇及主 KDC 欄位是從 /etc/krb5/krb5.conf 檔案中選擇的。如果您想要回到預設值的話,請按一下「從頭開始。
註解 -主管名稱可執行的管理操作係由 Kerberos ACL 檔案 /etc/krb5/kadm5.acl 所負責管理的。請參見 "使用 SEAM Tool。以有限的 Kerberos 管理權限" 中有關限制權限的資訊。
-
為指定的主管名稱輸入一個密碼。
-
按一下「確定」。
下列視窗會顯示出來。
- © 2010, Oracle Corporation and/or its affiliates