管理主管

本節將逐步說明如何使用 SEAM Tool 來管理主管。其中也同時會在每個程序之後使用 kadmin 指令，以介紹適用的指令行對等指令的範例。

管理主管工作對映圖

自動建立新主管

雖然 SEAM Tool 的使用容易，卻無法為您自動建立新的主管。當您必須在短時間內新增十位甚至上百位新主管的時候，就特別需要自動功能。不過您只要使用 Bourne shell 指令檔中的kadmin.local 指令，就可以自動建立許多的主管。

下列的 shell 指令檔文字行將示範如何進行﹕

sed -e 's/^\(.*\)$/ank +needchange -pw \1 \1/' < princnames |         
time /usr/krb5/sbin/kadmin.local> /dev/null

在此特別將本範例分為兩行以便於使用者閱讀。指令檔會讀取一個稱為 princnames 的檔案，並且將其中所含的主管名稱及密碼新增至 Kerberos 資料庫中。您必須建立 princnames 檔案以在每一行中包含一個主管名稱及其密碼，由一或多個空格分隔開來。+needchange 選項會設置主管，使用者在第一次以主管登入時，會被提示要輸入一個新的密碼，以確保 princnames 檔案中的密碼沒有安全上的顧慮。

以上只是其中一個範例。您可以建立更多複雜的指令檔，如使用名稱服務的資訊來取得主管名稱的使用者名稱清單等。您可以視網站的需求和您本身的指令寫作專才，來自行設計適合的指令檔。

如何檢視主管清單

本程序之後有一個相應的指令行對等指令範例。

1. 如果有必要，請開始 SEAM Tool。

   請參見 "如何開始 SEAM Tool" 中的詳細說明。

2. 按一下「主管」標籤。

   主管清單會顯示出來。

   

3. 要顯示一位特定的主管或主管的子清單，請在「過濾模式」欄位中輸入一個過濾字串，然後按下 return 鍵。如果過濾成功，符合過濾條件的主管清單會顯示出來。

   過濾字串必須包含一或多個字元。因為過濾機制是區分大小寫的，您必須使用正確的大寫及小寫字母來作為過濾條件。例如，若您輸入過濾字串 ge，過濾機制就只會顯示其中有 ge字串的主管（例如， george 或 edge）。

   如果您想要顯示整份主管清單，請按一下「清除過濾器」。

範例 - 檢視主管清單（指令行）

下列範例使用 kadmin 的 list_principals 指令來列出所有符合 test* 的主管。萬用字元可以與 list_principals 指令配合使用。

"kadmin: list_principals test*""test1@ACME.COM""test2@ACME.COM""kadmin: quit"

如何檢視一位主管的屬性

本程序之後有一個相應的指令行對等指令範例。

1. 如果有必要，請開始 SEAM Tool。

   請參見 "如何開始 SEAM Tool" 中的詳細說明。

2. 按一下「主管」標籤。

3. 在您想要檢視的清單中選擇主管然後按一下「修改」。

   包含某些主管屬性的「主管基礎資訊」面板會顯示出來。

4. 繼續按一下「下一步」以查看所有的主管屬性。

   從「說明」功能表中選取「與上下文相關的說明」以取得有關每個視窗中各個屬性的資訊。或者移到 "SEAM Tool 面板說明" 以參考所有主管屬性的說明。

5. 當您檢視完畢之後，請按一下「取消」。

範例 - 檢視一位主管的屬性

下列範例將顯示檢視 jdb/admin 主管時的第一個視窗。

範例 - 檢視一位主管的屬性（指令行）

下列範例使用 kadmin 的 get_principal 指令來檢視 jdb/admin 主管的屬性。

"kadmin: getprinc jdb/admin""主管﹕jdb/admin@ACME.COM""截止日期﹕星期五 8 月 25 日 17:19:05 PDT 2000""上一次的密碼變更﹕[永不]""密碼截止日期﹕星期三 4 月 14 日 11:53:10 PDT 1999""最長的許可證壽命﹕1 天 16:00:00 ""最長的可更新壽命﹕1 天 16:00:00 ""上一次修改﹕Thu 1 月 14 11:54:09 太平洋標準時間 1999 (admin/admin@ACME.COM) ""上一次成功的辯證．[永不] ""上一次失敗的辯證﹕[永不] ""失敗的密碼嘗試﹕0 ""密鑰數目﹕1 ""個密鑰﹕vno 1，DES cbc 模式與 CRC-32，沒有 salt ""屬性﹕REQUIRES_HW_AUTH 政策﹕[無] ""kadmin:quit"

如何建立一位新主管

本程序之後有一個相應的指令行對等指令範例。

1. 如果有必要，請開始 SEAM Tool。

   請參見 "如何開始 SEAM Tool" 中的詳細說明。

   ---

   註解 -

   如果您正在建立一位需要新政策的新主管，您應該在建立新主管之前先建立新的政策。請移到 "如何建立一個新政策"。

   ---

2. 按一下「主管標籤」。

3. 按一下「新的」。

   包含一位主管某些屬性的「主管基礎資訊」面板會顯示出來。

4. 指定一位主管名稱及密碼。

   主管名稱及密碼都是強制性的。

5. 指定主管的屬性值，並且繼續按一下「下一步」以指定其他的屬性。

   有三個視窗包含屬性資訊。從「說明」功能表中選取「與上下文相關的說明」以取得有關每個視窗中各個屬性的資訊。或者移到 "SEAM Tool 面板說明" 以參考所有主管屬性的說明。

6. 按一下「儲存」以儲存主管，或是在上一個面板中按一下「完成」。

7. 如果有必要，您可以設定 /etc/krb5/kadm5.acl 檔案中的新主管 Kerberos 管理權限。

   請參見 "如何修改 Kerberos 管理權限" 中的詳細說明。

範例 - 建立一個新的主管

下列範例中顯示在建立一位稱為 pak 的新主管時出現的「主管基礎資訊」面板。目前政策都被設定為 testuser。

範例 - 建立一個新的主管（指令行）

下列範例使用 kadmin 的 add_principal 指令來建立一位稱為 pak 的新主管。主管的政策被設定為 testuser。

"kadmin: add_principal -policy testuser pak ""輸入主管 "pak@ACME.COM" 的密碼﹕<鍵入密碼>""重新輸入主管 "pak@ACME.COM" 的密碼﹕<再次鍵入密碼>""建立了主管 "pak@ACME.COM"。""kadmin: quit"

如何複製一位主管

本程序將說明如何使用一位現存主管的所有或某些屬性來建立一位新的主管。此程序沒有指令行對等指令。

1. 如果有必要，請開始 SEAM Tool。

   請參見 "如何開始 SEAM Tool" 中的詳細說明。

2. 按一下「主管」標籤。

3. 在您想要複製的清單中選擇主管然後按一下「複製」。

   「主管基礎資訊」面板會顯示出來。除了空白的「主管名稱及密碼」欄位之外，選定主管的所有屬性都會被複製。

4. 指定一個主管名稱及密碼。

   主管名稱及密碼都是強制性的。如果您想要複製和您所選定的主管完全一樣的副本，請按一下「儲存」然後跳到最後一個步驟。

5. 為主管的屬性指定不同的數值，並且按一下「下一步」以繼續指定其他屬性。

   有三個視窗包含屬性資訊。從「說明」功能表中選取「與上下文相關的說明」以取得有關每個視窗中各個屬性的資訊。或者移到 "SEAM Tool 面板說明" 以參考所有主管屬性的說明。

6. 按一下「儲存」以儲存主管，或是在上一個面板中按一下「完成」。

7. 如果有必要，您可以設定 /etc/krb5/kadm5.acl 檔案中主管的 Kerberos 管理權限。

   請參見 "如何修改 Kerberos 管理權限" 中的詳細說明。

如何修改一位主管

本程序之後有一個相應的指令行對等指令範例。

1. 如果有必要，請開始 SEAM Tool。

   請參見 "如何開始 SEAM Tool" 中的詳細說明。

2. 按一下「主管」標籤。

3. 在您想要修改的清單中選擇主管然後按一下「修改」。

   包含某些主管屬性的「主管基礎資訊」面板會顯示出來。

4. 修改主管的屬性，然後繼續按一下「下一步」以修改其他的屬性。

   有三個視窗包含屬性資訊。從「說明」功能表中選取「與上下文相關的說明」以取得有關每個視窗中各個屬性的資訊。或者移到 "SEAM Tool 面板說明" 以參考所有主管屬性的說明。

   ---

   註解 -

   您無法修改一位主管的名稱。要將一位主管重新命名，您必須先複製此主管，為它指定一個新的名稱，儲存它，然後再刪除舊的主管。

   ---

5. 按一下「儲存」以儲存主管，或是在上一個面板中按一下「完成」。

6. 修改主管在 /etc/krb5/kadm5.acl 檔案中的 Kerberos 管理權限。

   請參見 "如何修改 Kerberos 管理權限" 中的詳細說明。

範例-修改一位主管的密碼（指令行）

下列範例使用 ch kadmin 的 ange_password 指令來修改 jdb 主管的密碼。change_password 並不允許您將密碼變更為主管的密碼歷程中已有的密碼。

"kadmin: change_password jdb ""輸入主管 "jdb" 的密碼﹕<鍵入新的密碼>""重新輸入主管 "jdb" 的密碼﹕<再次鍵入密碼> ""變更了 "jdb@ACME.COM" 的密碼。""kadmin:quit"

要修改一位主管的其他屬性，您必須使用 kadmin 的 modify_principal 指令。

如何刪除一位主管

本程序之後有一個相應的指令行對等指令範例。

1. 如果有必要，請開始 SEAM Tool。

   請參見 "如何開始 SEAM Tool" 中的詳細說明。

2. 按一下「主管」標籤。

3. 在您想要刪除的清單中選擇主管然後按一下「刪除」。

   在您確認刪除動作之後，主管會被刪除。

4. 從 Kerberos ACL 檔案 /etc/krb5/kadm5.acl 中將主管移除。

   請參見 "如何修改 Kerberos 管理權限" 中的詳細說明。

範例-刪除一位主管（指令行）

下列範例使用 kadmin 的 delete_principal 指令來刪除 jdb 主管。

"kadmin: delete_principal pak ""您是否確定要刪除主管 "pak@ACME.COM"？（是/否）﹕是 ""主管 "pak@ACME.COM" 被刪除。請確定在您重新使用之前已經從所有的 ACL 中移除此主管。""kadmin: quit"

如何設定建立新主管的預設值

此程序沒有指令行對等指令。

1. 如果有必要，請開始 SEAM Tool。

   請參見 "如何開始 SEAM Tool" 中的詳細說明。

2. 從「編輯」功能表中選取內容。

   內容視窗會顯示出來。

   

3. 選擇在您建立新主管時想要的預設值。

   從「說明」功能表中選取「與上下文相關的說明」以取得有關每個視窗中各個屬性的資訊。

4. 按一下「儲存」。

如何修改 Kerberos 管理權限

雖然您的網站可以有許多位使用者主管，最好只讓少數的使用者來管理 Kerberos 資料庫。管理 Kerberos 資料庫的權限是由 Kerberos 存取控制清單 (ACL) 檔案 kadm5.acl(4) 決定的。kadm5.acl 檔案可以讓您允許或否決個別主管的權限，或者您可以使用主管名稱中的 '*' 萬用字元來指定主管群組的權限。

1. 在主 KDC 之上成為超級使用者。

2. 編輯 /etc/krb5/kadm5.acl 檔案。

   kadm5.acl 檔案中的一個項目必須為下列格式﹕

   主管 權限 [principal_target]

   主管	被賦予權限的主管。任何部份的主管名稱都可以包括 '*' 萬用字元，這在提供一個主管群組相同的權限時很有用。例如，若您想為所有主管指定 admin 實例，您就應該使用 */admin@範疇。請注意，admin實例通常的用法是將個別的權限（如管理存取給 Kerberos 資料庫）賦予個別的 Kerberos 主管。例如，使用者 jdb 可能有一個供其管理用途的主管，稱為 jdb/admin。這樣一來，jdb 就只能在實際需要使用那些權限時才能取得 jdb/admin 許可證。
   權限	指定主管可以或無法執行何種操作。這是一或多個下列字元的字串或其大寫相同字母的清單。如果字元是大寫（或未指定），操作便不被允許。如果字元是小寫的，那麼操作就被准許。
   	a	[Dis]允許附加主管或政策。
   	d	[Dis] 允許刪除主管或政策。
   	m	[Dis]允許修改主管或政策。
   	c	[Dis]允許變更主管的密碼。
   	i	[Dis]允許資料庫查詢。
   	l	[Dis]允許資料庫中的主管或政策清單。
   	x 或 *	允許所有的權限（admcil）。
   principal_target	在此欄位中指定一位主管時，權限只有在 principal_target 之上操作時才會套用至主管。主管名稱的任何部份都可以包括 '*' 萬用字元，對群組主管很有幫助。

範例-修改 Kerberos 管理權限

下列 kadm5.acl 檔案中的項目會賦予 ACME.COM 範疇中有 admin 實例的任何主管資料庫的所有使用權限。

*/admin@ACME.COM *

下列 kadm5.acl 檔案中的項目會賦予 jdb@ACME.COM 主管新增、列出、與查詢任何有 root 實例主管的權限。

jdb@ACME.COM ali */root@ACME.COM