SEAM 管理工具
SEAM 管理工具是一个交互式的图形用户接口 (GUI),使您可以维护 Kerberos 授权对象和策略。其所提供的功能,许多与 kadmin 命令相同; 然而,其并不支持对密钥表的管理。您必须使用 kadmin 命令来管理密钥表,这"管理密钥表" 中得到描述。
类似于 kadmin 命令, SEAM Tool 使用 Kerberos 鉴别和经过加密的 RPC 来从网络上的任意地方安全地进行操作。 SEAM Tool 使您可以:
-
基于默认的值或现有的授权对象,创建新的授权对象
-
基于现有的策略,创建新的策略
-
为授权对象添加说明
-
为创建新的授权对象设置默认的值
-
不用退出工具就登录为另一授权对象
-
打印或保存授权对象和策略列表
-
查看和搜索授权对象和策略列表
SEAM Tool 还提供语境敏感和一般联机帮助。
下列任务图提供到您可以借助 SEAM Tool 进行的各种各样任务的指针:
另外,请转到 "SEAM Tool 面板描述",了解对您可以在 SEAM 工具中指定或查看的所有授权对象和策略属性的描述。
SEAM Tool 的等效命令行;
本节列出 kadmin 命令,其所提供的功能与 SEAM Tool 相同,不用运行 X Window 系统就可以加以使用。尽管本章中的大多数的步骤使用 SEAM Tool, 但其中许多步骤还提供相应的使用等效命令行的示例。
表 5-1 SEAM Tool 的等效命令行|
步骤 |
kadmin 命令 |
|---|---|
|
查看授权对象的列表 |
list_principals 或 get_principals |
|
查看一个授权对象的属性 |
get_principal |
|
创建一个新的授权对象 |
add_principal |
|
复制一个授权对象 |
无等效命令行 |
|
修改一个授权对象 |
modify_principal 和 change_password |
|
删除一个授权对象 |
delete_principal |
|
为创建新的授权对象设置默认值 |
无等效命令行 |
|
查看策略的列表 |
list_policies 或 get_policies |
|
查看一个策略的属性 |
get_policy |
|
创建一个新的策略 |
add_policy |
|
修改一个策略 |
modify_policy |
|
复制一个策略 |
无等效命令行 |
|
删除一个策略 |
delete_policy |
SEAM Tool 所修改的文件
SEAM Tool 所修改的唯一文件就是 $HOME/.gkadmin 文件。其包含用于创建新的授权对象的默认的值,且可以通过从编辑菜单选择属性加以更新。
SEAM Tool 的打印和联机帮助特性
SEAM Tool 提供打印和联机帮助特性两者。从打印菜单,您可以将下列发送到一个打印机或一个文件:
-
所指定的主 KDC 上的可用授权对象的列表
-
所指定的主 KDC 上的可用策略的列表
-
当前所选择或所加载的授权对象
-
当前所选择或所加载的策略
从帮助菜单,您可以获得语境敏感帮助和一般帮助。当您从帮助菜单选择语境敏感帮助时,语境敏感帮助窗口就显示出来,且工具被切换到帮助模式。在帮助模式中,当您在窗口上的任意字段,标签,或按钮上单击时,该项目上的帮助就在帮助窗口中显示出来。如要切换回工具的常规模式,请在帮助窗口中单击撤除。
您还可以选择帮助内容,打开一个 HTML 浏览器,其中提供到本章中所提供的一般总览和任务信息的指针。
在 SEAM Tool 中操作大型列表
随着您的站点开始蓄积大量的授权对象和策略, SEAM 工具加载和显示授权对象和策略列表时所花费的时间将变得越来越长,并将减缓您使用工具的生产率。有多个方法可以使用,以对此加以解决。
首先,您可以完全消除加载列表的时间,方法是不让 SEAM 工具加载列表。您可以通过从编辑菜单选择属性和撤销对显示列表字段的复选,对该选项进行设定。当然,当工具不加载列表时,其就无法显示列表,而您不再能够使用列表面板来选择授权对象或策略。替代方法是,您必须在所提供的新的名称字段中录入一个授权对象或策略名称,然后选择您想要对其进行的操作。基本上,录入一个名称与从列表选择一个项目等效。
操作大型列表的另一方法是对其进行高速缓存。实际上,在一个有限的时间里对列表进行高速缓存被设定为 SEAM 工具的默认行为。 SEAM 工具起初依旧必须将列表加载进高速缓存,但在此后,工具就可以使用高速缓存,而不是再次取回列表。这就消除了不断从服务器加载列表的必要,而正是这花费的时间较长。
您可以通过另外从编辑菜单选择属性,设定列表高速缓存。有两个高速缓存设定。您可以选择永远高速缓存列表,您也可以指定一个时限,此时工具必须将列表从服务器重新加载进高速缓存。
对列表进行高速缓存依旧使您可以使用列表面板来选择授权对象和策略,因而其并不象第一个选项那样对您如何使用 SEAM Tool 构成影响。另外,尽管进行高速缓存并不使您可以看到其它的变更,您依旧能够看到基于您的变更的最新的列表信息,因为您的变更对服务器上的和高速缓存中的列表均进行更新。而且,如果您想更新高速缓存来查看其它的变更并获得列表的最新副本,则每当您想刷新来自服务器的高速缓存时,您均可以使用刷新菜单。
如何启动 SEAM Tool
-
通过使用 gkadmin 命令来启动 SEAM Tool。
$ /usr/krb5/sbin/gkadmin
-
如果您不想使用默认的值,则请指定新的值。
登录窗口自动填充为默认的值。默认的授权对象名称,是通过从 USER环境变量提取您的当前的身份并向其追加 /admin 而加以确定的 (username/admin)。默认的区域和主 KDC 字段是从 /etc/krb5/krb5.conf 文件选择的。如果您真地想要返回到默认的值,则请单击从头开始。
注意:授权对象名称可以进行的管理操作取决于 Kerberos ACL 文件, /etc/krb5/kadm5.acl。 请参见"将 SEAM Tool 用于有限的 Kerberos 管理特权",了解关于有限特权的信息。
-
为所指定的授权对象名称录入一个口令。
-
单击确认。
下列窗口显示出来。
- © 2010, Oracle Corporation and/or its affiliates