SEAM Tool 參考資料
本節將說明有關 SEAM Tool 的參考資料。
SEAM Tool 面板說明
本節將說明可在 SEAM 工具中指定或檢視的每個主管及政策的屬性。屬性是由顯示它們的面板所組織的。
表 5-4 主管基礎資訊面板屬性|
屬性 |
說明 |
|---|---|
|
主管名稱 |
主管的名稱(一個完全符合條件的主管名稱的primary/實例部份)。主管是 KDC 可以指派許可證的一個獨特實體。 如果您正在修改一位主管,您便無法編輯一位主管的名稱。 |
|
密碼 |
主管的密碼。您可以使用「生成隨機密碼」按鈕來為主管建立一個隨機密碼。 |
|
政策 |
主管可用的政策功能表。 |
|
帳號過期 |
主管帳號過期的日期及時間。當帳號過期時,主管便不能再取得一張能賦予許可證的許可證 (TGT),而且也無法登入。 |
|
上一次的主管變更 |
上一次修改主管資訊的日期。(唯讀) |
|
上一次的變更者 |
上一次修改此主管帳號的主管名稱。(唯讀) |
|
註解 |
與主管有關的註解(例如,'暫存帳號') |
表 5-5 主管詳細資訊面板屬性
|
屬性 |
說明 |
|---|---|
|
上一次成功 |
主管上一次成功登入的日期及時間。(唯讀) |
|
上一次失敗 |
主管上一次登入失敗的日期及時間。(唯讀) |
|
失敗計數 |
主管登入發生失敗的次數。(唯讀) |
|
上一次的密碼變更 |
主管的密碼上一次變更的日期及時間。(唯讀) |
|
密碼過期 |
主管目前的密碼將要過期的日期及時間。 |
|
密鑰版本 |
主管的密鑰版本編號;通常只有在密碼被竊取的情況下才會變更。 |
|
最長的壽命(秒數) |
可以賦予主管許可證的最長時間(沒有更新)。 |
|
最長的更新(秒數) |
可以更新現存的主管許可證的最長時間。 |
表 5-6 主管旗標面板屬性
|
屬性(選項圓鈕) |
說明 |
|---|---|
|
停用帳號 |
核選時,主管便無法登入。這是以任何原因需要暫時凍結一個主管帳號的簡單方法。 |
|
要求密碼變更 |
核選時,會使主管目前的密碼過期,強迫使用者改用 kpasswd 指令來建立一個新的密碼。在產生安全上的顧慮而且必須確定取代舊的密碼時非常有用。 |
|
允許遠期的許可證 |
核選時,允許主管取得遠期的許可證。 例如,您必須使用遠期的許可證來執行 cron 工作,工作必須在上班時間以外執行,並且因為許可證壽命太短而無法事先取得許可證。 |
|
允許可轉遞的許可證 |
核選時,主管便可取得可轉遞的許可證。 可轉遞的許可證是一張被轉遞至遠端主機的許可證,可以提供單一簽入的作業階段。例如,如果您正在使用可轉遞的許可證,而且您已經透過 ftp 或 rsh 來自我辯證的話,不會提示您輸入另一個密碼,就可以使用其他如 NFS 服務的服務。 |
|
允許可更新的許可證 |
核選時,允許主管取得可更新的許可證。 主管可以自動延長一張可更新許可證的截止日期或時間(而不需在第一張過期之後取得一張新的許可證)。目前 NFS 服務是唯一可以更新許可證的服務。 |
|
允許可代理的許可證 |
核選時,允許主管取得可代理的許可證。 可代理的許可證是一張可以由代表客戶端執行客戶端操作的服務所用的許可證。一項服務可以利用可代理的許可證來成為一個客戶端的身份,並且為另一項服務取得一張許可證,但它無法取得一張能賦予許可證的許可證。 |
|
允許服務許可證 |
核選時,允許核發服務許可證給主管。 您不應該將服務許可證核發給 kadmin/ 主機名稱 及 changepw/ 主機名稱 主管,以確保這些主管只能更新 KDC 資料庫。 |
|
允許以 TGT 為基礎的辯證 |
核選時,允許服務主管為另一位主管提供服務。更明確地說,可以允許 KDC 核發一張服務許可證給服務主管。 本屬性只適用於服務主管。未被核選時,便無法將服務許可證核發給服務主管。 |
|
允許複製辯證 |
核選時,允許使用者主管為其他使用者主管取得服務許可證。 本屬性只適用於使用者主管。未被核選時,使用者主管仍然可以為服務主管,但卻無法為其他使用者主管取得服務許可證。 |
|
所需的事先辯證 |
核選時,KDC 在辯證(透過軟體)要求 TGT 的主管身份之後,才會將所要求的能賦予許可證的許可證 (TGT) 傳送給主管。通常是利用一個額外的密碼,例如從一個 DES 卡來進行這種事先辯證。 未被核選時,KDC 在將要求的 TGT 傳送給主管之前不需要事先辯證它。 |
|
所需的硬體辯證 |
核選時,KDC 在辯證(透過硬體)要求 TGT 的主管身份之後,才會將所要求的能賦予許可證的許可證 (TGT) 傳送給主管。Java 環式讀取器就是一種硬體事先辯證。 未被核選時,KDC 在將要求的 TGT 傳送給主管之前不需要事先辯證它。 |
表 5-7 政策基礎資訊面板屬性
|
屬性 |
說明 |
|---|---|
|
政策名稱 |
政策的名稱。一個政策是監督主管密碼及許可證的一組規則。 如果您正在修改一個政策,您便無法編輯一個政策的名稱。 |
|
最小的密碼長度 |
主管密碼的最小長度。 |
|
最少的密碼類別 |
主管密碼所需的不同字元類型的最小數目。 例如,一個 2 的最小類別數值表示密碼必須有至少兩種不同的字元類型,如字母及數字 (hi2mom)。一個 3 的值則表示密碼必須有至少三種不同的字元類型,如字母、數字、及標點符號 (hi2mom!) 等等。 一個 1 的數值基本上對密碼字元類型的數目沒有任何限制。 |
|
儲存的密碼歷程 |
已經被主管使用而且無法再重新使用的先前的密碼數目。 |
|
最短的密碼壽命(秒數) |
在可以變更密碼之前必須使用的最短時間。 |
|
最長的密碼壽命(秒數) |
在必須變更密碼之前可以使用的最長時間。 |
|
使用此政策的主管 |
目前套用此政策的主管數目。(唯讀) |
使用 SEAM Tool。以有限的 Kerberos 管理權限
如果您的 admin 主管擁有管理 Kerberos 資料庫的所有權限的話,便可以使用 SEAM 管理工具的所有功能。您也可以限制這些權限,如只允許檢視主管清單或變更一位主管的密碼。如果只擁有有限的 Kerberos 管理權限,您仍然可以使用 SEAM 管理工具,不過 SEAM 工具的各個部份會根據您所沒有的 Kerberos 管理權限而變更。表 5-8 將說明 SEAM 工具如何根據您的 Kerberos 管理權限而變更。
當您沒有清單權限時,最容易發現 SEAM 工具的變更。如果沒有清單權限,「清單」面板就不會顯示主管及政策的清單來供您操控。相反地,您必須使用「清單」面板中的「名稱」欄位來指定一個您想要使用的主管或政策。
如果您登入 SEAM 工具而且沒有足夠的權限其其中執行有用的工作,那麼下列的訊息會顯示除了,然後您會被送回「登入」視窗中﹕
使用 gkadmin: ADMCIL 的不足權限。請試著使用另一位主管。 |
要將一位主管的權限變更為管理 Kerberos 資料庫,請到 "如何修改 Kerberos 管理權限"。
表 5-8 以有限的 Kerberos 管理權限來使用 SEAM 工具|
如果您沒有此權限 ... |
然後 SEAM 工具會變更為下列各項 ... |
|---|---|
|
a(新增) |
「主管及政策清單」面板中的「建立新的與複製」按鈕無法使用。沒有新增的權限,您便無法建立新的或複製的主管或政策。 |
|
d(刪除) |
「主管及政策清單」面板中的「刪除」按鈕無法使用。沒有刪除的權限,您便無法刪除主管或政策。 |
|
m (修改) |
「主管及政策清單」面板中的「修改」按鈕無法使用。沒有修改的權限,您便無法修改主管或政策。 同時,無法使用「修改」按鈕時,即使您擁有變更密碼的權限,您也無法修改一位主管的密碼。 |
|
c(變更密碼) |
「主管基礎資訊」面板中的密碼欄位係唯讀,而且無法變更。沒有變更密碼的權限,您便無法修改一位主管的密碼。 請注意,即使您擁有變更密碼的權限,您還必須擁有變更一位主管密碼的修改權限。 |
|
i(查詢資料庫) |
「主管及政策」清單面板中的「修改」及「複製按鈕無法使用。沒有查詢的權限,您無法修改或複製一位主管或一個政策。 同時,無法使用「修改」按鈕時,即使您擁有變更密碼的權限,您也無法修改一位主管的密碼。 |
|
l(清單) |
「清單」面板中的主管及政策清單無法使用。沒有清單的權限,您必須使用「清單」面板中的「名稱」欄位以指定您想要在其上工作的主管或政策。 |
- © 2010, Oracle Corporation and/or its affiliates