SEAM Tool 面板描述
本节为您可以在 SEAM 工具中指定或查看的每个授权对象和策略属性提供描述。属性是通过其显示时所在的面板加以组织的。
表 5-4 授权对象基本面板属性|
属性 |
描述 |
|---|---|
|
授权对象名称 |
授权对象的名称 (一个完全合格的授权对象名称的 主干/实例 部分)。授权对象是一个独特的身份, KDC 可以向其分派票券。 如果您正在修改一个授权对象,您就无法编辑一个授权对象的名称。 |
|
口令 |
用于授权对象的口令。您可以使用生成随机口令按钮来为授权对象创建一个随机口令。 |
|
策略 |
一个可用于授权对象的策略的菜单。 |
|
帐户到期 |
授权对象的帐户到期的日期和时间。当帐户到期时,授权对象不再可以获得一个具有票券授予权的票券 (TGT) 且不可以登录。 |
|
最近授权对象更改 |
授权对象的信息最近得到修改的日期。(只读) |
|
最近更改者 |
最近为该授权对象修改帐户的授权对象的名称。(只读) |
|
说明 |
与授权对象有关的说明 (例如,'临时帐户') |
表 5-5 授权对象细节面板属性
|
属性 |
描述 |
|---|---|
|
最近成功 |
授权对象最近成功登录的日期和时间。(只读) |
|
最近失败 |
最近为授权对象进行登录发生失败的日期和时间。(只读) |
|
失败计数 |
为授权对象进行登录发生失败的次数。(只读) |
|
上次口令更改 |
授权对象的口令最近遭到更改的日期和时间。(只读) |
|
口令到期 |
授权对象的当前的口令将要到期的日期和时间。 |
|
密钥版本 |
授权对象的密钥版本号码; 通常只有当口令被折衷后才对此进行更改。 |
|
最长期限 (秒) |
可以为授权对象授予票券的最大时间长度 (无续延)。 |
|
最长续延期 (秒) |
可以为授权对象续延一个现有票券的最大时间长度。 |
表 5-6 授权对象标志面板属性
|
属性 (单选按钮) |
描述 |
|---|---|
|
禁用帐户 |
当选中时,防止授权对象登录。这是出于某些原因而暂时冻结一个授权对象帐户的一个简便方法。 |
|
要求口令更改 |
当选中时,使授权对象的当前的口令到期,强迫用户使用 kpasswd 命令来创建一个新的口令。如果有一个安全漏洞而您必须确保旧的口令得到替换,这就很有用。 |
|
允许超期票券 |
当选中时,允许授权对象获得超期票券。 例如,您可能需要为 cron 任务使用超期票券,此类任务必须在几小时后运行,而其又因为票券期限太短而无法事先获得票券。 |
|
允许可转发票券 |
当选中时,允许授权对象获得可转发票券。 可转发票券是指被转发到远程主机的票券,用以提供单次进入系统对话。例如,如果您正在使用可转发票券而且您通过 ftp 或 rsh 鉴别您自己,则您可享用其它服务,例如 NFS,而不会提示您输入另一口令。 |
|
允许可续延票券 |
当选中时,允许授权对象获得可续延票券。 新的授权对象能够自动地延展可续延票券的到期日期或时间(而无需在第一张票券到期后不得不获得新票券)。目前, NFS 服务是唯一能够续延票券的服务。 |
|
允许可代理票券 |
当选中时,允许授权对象来获得可代理票券。 可代理票券是指能够被某项服务用来代表客户进行客户操作的票券。有了可代理票券,一项服务就能够具有客户的身份,并为另一项服务获得票券,但它不能获得具有票券授予权的票券。 |
|
允许服务票券 |
当选中时,允许为授权对象发放服务票券。 您不应当允许为 kadmin/hostname 和 changepw/hostname 授权对象发放服务票券来。这就确保这些授权对象只可以更新 KDC 数据库。 |
|
允许基于 TGT 的鉴别 |
当选中时,允许服务授权对象向另一授权对象提供服务。更加具体来讲,它允许 KDC 为服务授权对象发放某项服务票券。 本属性只对服务授权对象有效。当不加选中时,就不能为新服务授权对象发放服务票券。 |
|
允许复制鉴别 |
当选中时,允许用户授权对象为其它的用户授权对象获得服务票券。 本属性只对用户授权对象有效。当不加选中时,用户授权对象依旧可以为服务授权对象获得服务票券,但不能为其它的用户授权对象获得服务票券。 |
|
要求预鉴别 |
当选中时,KDC 将不会将所请求的具有票券授予权的票券 (TGT) 发送到授权对象,直到它能够鉴别 (通过软件) 它确实为请求该 TGT 的授权对象。本预鉴别一般通过附加口令完成,例如,从 DES 卡。 当不加选中时,KDC 将无需在其向授权对象发送所请求的 TGT 之前对它进行预鉴别。 |
|
要求硬件鉴别 |
当选中时,KDC 将不会将所请求的具有票券授予权的票券 (TGT) 发送到授权对象,直到它能够鉴别 (通过硬件) 它确实为请求该 TGT 的授权对象。硬件预鉴别可以是类似 Java 环形阅读器的东西。 当不加选中时,KDC 将无需在其向授权对象发送所请求的 TGT 之前对它进行预鉴别。 |
表 5-7 策略基本内容面板属性
|
属性 |
描述 |
|---|---|
|
策略名称 |
策略是用于管辖授权对象的口令和票券的全套规定。 如果您正在修改一个策略,您就无法编辑一个策略的名称。 |
|
最短口令长度 |
最小长度为授权对象的口令。 |
|
最少口令类别 |
授权对象的口令所要求的不同字符类型的最低数量。 例如,最少类别值为 2 意味着口令必须至少有两种不同字符类,如字母和数字 (hi2mom)。类别值为 3 意味着口令必须有三种不同字符类,如字母、数字和标点符号(hi2mom!)。依次类推。 类别值为 1 基本上对口令字符类数量不设限制。 |
|
保存的口令历史记录 |
授权对象曾使用而且不能再重新使用的原先口令数量。 |
|
最短口令期限 (秒) |
口令必须加以使用的最短时间,然后才能对其进行更改。 |
|
最长口令期限 (秒) |
口令能够加以使用的最长时间,然后必须对其进行更改。 |
|
使用该策略的授权对象 |
本策略目前适用的授权对象数量。(只读) |
- © 2010, Oracle Corporation and/or its affiliates