授权对象
SEAM 中的客户机是通过其 授权对象 来得以识别的。授权对象是一个独特的身份, KDC 可以向其分派票券。授权对象可以是一个用户,诸如 joe, 也可以是某项服务,诸如 nfs 或 telnet。
依照惯例,一个授权对象名称分为三个部分: primary、实例和 区域。例如,一个典型的 SEAM 授权对象有如 joe/admin@ENG.ACME.COM, 其中:
-
joe 是主干。这可以是一个用户名,如此处所示,也可以是某项服务,诸如 nfs。它还可以是单词 host, 指示这是一项服务授权对象,其业已设置为提供各种各样的网络服务 (ftp、rcp、rlogin, 等等)。
-
admin 是实例。如果是用户授权对象的情形,则实例是可选的,但对于服务授权对象却是必需的。例如: 如果用户 joe 有时作为一个系统管理员,他就可以使用 joe/admin 来将其自身从其通常的用户身份区分开。同样道理,如果joe在两个不同的服务器上拥有帐户,则其可以借助不同的实例,使用两个授权对象名称 (例如,joe/denver.acme.com 和 joe/boston.acme.com)。请注意, SEAM 将 joe 和 joe/admin 作为两个完全不同的授权对象。
如果是服务授权对象的情形,则实例就是完全合格的主机名。 bigmachine.eng.acme.com 就是此类实例的一个示例,因而举例而言, primary/instance 可能会是 ftp/bigmachine.eng.acme.com 或 host/bigmachine.eng.acme.com。
-
ENG.ACME.COM 是 SEAM 区域。区域在 "区域" 中有论述。
下列是所有有效的授权对象名称:
-
joe
-
joe/admin
-
joe/admin@ENG.ACME.COM
-
ftp/host.eng.acme.com@ENG.ACME.COM
-
host/eng.acme.com@ENG.ACME.COM
- © 2010, Oracle Corporation and/or its affiliates