test

Sun Enterprise Authentication Mechanism 1.0.1 Handbuch

Kapitel 5 Verwalten von Hauptbenutzern und Richtlinien

In diesem Kapitel werden Verfahren zur Verwaltung von Hauptbenutzern und den ihnen zugeordneten Richtlinien beschrieben. Weiterhin wird die Verwaltung der Schlüsseltabelle eines Hosts veranschaulicht.

Dieses Kapitel sollte von jedem beachtet werden, der Hauptbenutzer und Richtlinien verwalten muss. Vor der Anwendung dieses Kapitels sollten Sie mit Hauptbenutzern und Richtlinien vertraut sein und die Planungsüberlegungen abgeschlossen haben. Weitere Informationen finden Sie unter Kapitel 1 und Kapitel 2.

Es folgt eine Liste der schrittweisen Anleitungen in diesem Kapitel.

Möglichkeiten der Verwaltung von Hauptbenutzern und Richtlinien

Die Kerberos-Datenbank auf dem Master-KDC enthält alle Kerberos-Hauptbenutzer, ihre Passwörter, Richtlinien und andere administrative Informationen Ihres Bereichs. Sie können die Befehle kadmin(1M) oder gkadmin(1M) verwenden, um Hauptbenutzer zu erstellen, zu löschen und die Attribute zu verändern.

Der Befehl kadmin stellt eine interaktive Befehlszeilen-Schnittstelle bereit, die Ihnen die Verwaltung von Kerberos-Hauptbenutzern, Richtlinien und Schlüsseltabellen ermöglicht. Es gibt zwei Versionen des Befehls kadmin: kadmin, der die Kerberos-Authentisierung verwendet, um sicher von einer beliebigen Position im Netzwerk aus zu operieren, und kadmin.local, der direkt auf dem Master-KDC ausgeführt werden muss. Mit dem einzigen Unterschied, dass kadmin Kerberos zur Authentisierung von Benutzern verwendet, ist die Funktionalität der beiden Versionen identisch. Die lokale Version ist erforderlich, damit Sie die Datenbank ausreichend einrichten können, um die entfernte Version verwenden zu können.

Außerdem wird mit dem SEAM-Produkt das SEAM-Verwaltungs-Tool gkadmin, mitgeliefert, bei dem es sich um eine interaktive grafische Benutzeroberfläche (GUI, Graphical User Interface) handelt, die im wesentlichen dieselben Funktionen wie der Befehl kadmin bietet. Weitere Informationen finden Sie unter "SEAM-Verwaltungs-Tool".

SEAM-Verwaltungs-Tool

Das SEAM-Verwaltungs-Tool stellt eine interaktive grafische Benutzeroberfläche (GUI) dar, mit der Sie Kerberos-Hauptbenutzer und Richtlinien verwalten können. Es bietet dieselben Funktionen wie der Befehl kadmin; die Verwaltung von Schlüsseltabellen wird jedoch nicht unterstützt. Sie müssen den Befehl kadmin verwenden, um Schlüsseltabellen zu verwalten, wie in "Verwalten von Schlüsseltabellen" beschrieben.

Wie auch der Befehl kadmin verwendet das SEAM Tool die Kerberos-Authentisierung und verschlüsseltes RPC, um sicher von einer beliebigen Position im Netzwerk aus zu operieren. Mit dem SEAM Tool können Sie folgendes durchführen:

DasSEAM Tool stellt auch eine kontextabhängige und allgemeine Online-Hilfe bereit.

Die folgenden Aufgabentabellen stellen Zeiger auf die verschiedenen Aufgaben bereit, die mit dem SEAM Tool ausgeführt werden können:

Beschreibungen aller Hauptbenutzer- und Richtlinienattribute, die im SEAM-Tool entweder festgelegt oder angezeigt werden können, finden Sie unter "SEAM Tool Bildschirmbeschreibungen".

Befehlszeilen-Äquivalente des SEAM Tools

In diesem Abschnitt werden die Befehle von kadmin aufgeführt, die dieselbe Funktionalität wie das SEAM Tool bereitstellen und ohne die Ausführung des X Window Systems verwendet werden können. Obwohl die meisten Verfahren in diesem Kapitel das SEAM Tool verwenden, bieten viele dieser Verfahren auch entsprechende Beispiele für die Verwendung der Befehlszeilen-Äquivalente.

Tabelle 5-1 Befehlszeilen-Äquivalente des SEAM Tools

Verfahren 

kadmin-Befehl

Anzeigen der Hauptbenutzerliste  

list_principals oder get_principals

Anzeigen der Hauptbenutzerattribute  

get_principal

Erstellen eines neuen Hauptbenutzers 

add_principal

Duplizieren eines Hauptbenutzers 

Kein Befehlszeilen-Äquivalent 

Ändern eines Hauptbenutzers 

modify_principal und change_password

Löschen eines Hauptbenutzers 

delete_principal

Einrichten von Standardwerten für die Erstellung neuer Hauptbenutzer 

Kein Befehlszeilen-Äquivalent 

Anzeigen der Richtlinienliste 

list_policies oder get_policies

Anzeigen der Richtlinienattribute  

get_policy

Erstellen einer neuen Richtlinie 

add_policy

Ändern einer Richtlinie 

modify_policy

Duplizieren einer Richtlinie 

Kein Befehlszeilen-Äquivalent 

Löschen einer Richtlinie 

delete_policy

Mit dem SEAM Tool geänderte Dateien

Die einzige vom SEAM Tool veränderte Datei ist die Datei $HOME/.gkadmin. Sie enthält die Standardwerte für die Erstellung neuer Hauptbenutzer. Sie kann über den Befehl "Eigenschaften" im Menü "Bearbeiten" aktualisiert werden.

Druckfunktionen und Online-Hilfe des SEAM Tool

Das SEAM Tool stellt sowohl Funktionen zum Drucken als auch für die Online-Hilfe bereit. Aus dem Menü "Drucken" können Sie folgendes an einen Drucker oder eine Datei senden:

Über das Menü "Hilfe" können Sie die kontextbezogene und die allgemeine Hilfe aufrufen. Wenn Sie die kontextbezogene Hilfe aus dem Menü "Hilfe" aufrufen, wird das Fenster für die kontextbezogene Hilfe angezeigt und das Tool in den Hilfemodus umgeschaltet. Im Hilfemodus wird die Hilfe für das entsprechende Element beim Klicken auf ein Feld, eine Beschriftung oder auf Schaltflächen des Fensters im Hilfe-Fenster angezeigt. Klicken Sie im Hilfe-Fenster auf "Verlassen", um wieder in den normalen Modus des Tools zurückzukehren.

Sie können auch "Inhalt der Hilfe" wählen, wodurch ein HTML-Browser geöffnet wird, der Zeiger auf die Informationen der allgemeinen Übersicht und Aufgaben bereitstellt, die in diesem Kapitel aufgeführt werden.

Arbeiten mit großen Listen im SEAM Tool

Wenn Ihre Site beginnt, eine große Anzahl von Hauptbenutzern und Richtlinien anzusammeln, benötigt das SEAM-Tool zum Laden und Anzeigen der Hauptbenutzer- und Richtlinienlisten zunehmend länger und verringert somit die Produktivität dieses Tools. Es gibt verschiedene Möglichkeiten, dies zu vermeiden.

Als erstes können Sie die Ladezeiten für diese Listen komplett wegfallen lassen, indem die Listen nicht vom SEAM-Tool geladen werden. Sie können diese Option durch die Auswahl des Befehls "Eigenschaften" im Menü "Bearbeiten" und das anschließende Deaktivieren des Feldes "Listen anzeigen" festlegen. Selbstverständlich kann das Tool die Listen nicht anzeigen, wenn es diese nicht lädt, und somit können Sie die Bildschirme mit den Listen nicht mehr verwenden, um Hauptbenutzer oder Richtlinien auszuwählen. Stattdessen müssen Sie einen Hauptbenutzer- oder Richtliniennamen in das bereitgestellte neue Feld "Name" eingeben und dann die gewünschte Operation auswählen, die Sie damit durchführen wollen. Im Grunde wird die Auswahl eines Elements aus der Liste durch die Eingabe eines Namens ersetzt.

Eine weitere Möglichkeit zur Arbeit mit langen Listen besteht darin, sie in einem Cache zu speichern. Tatsächlich ist die Speicherung der Listen im Cache für eine begrenzte Zeit als Standardverhalten für das SEAM-Tool festgelegt. Das SEAM-Tool muss die Listen weiterhin anfangs in den Cache laden, aber danach kann das Tool den Cache verwenden, anstatt die Listen erneut abzurufen. Dadurch müssen die Listen nicht mehr vom Server geladen werden, was den Grund für die langen Ladezeiten darstellte.

Sie können die Zwischenspeicherung der Listen ebenfalls über den Befehl "Eigenschaften" im Menü "Bearbeiten" festlegen. Dort befinden sich zwei Einstellungen für den Cache. Sie können die dauerhafte Zwischenspeicherung der Listen wählen oder eine Zeitgrenze festlegen, wann das Tool die Listen erneut vom Server in den Cache laden muss.

Wenn Sie die Listen im Cache speichern, können Sie weiterhin die Bildschirme mit den Listen für die Auswahl der Hauptbenutzer und Richtlinien verwenden. Somit wird die Verwendungsweise des SEAM Tool nicht wie bei der ersten Option betroffen. Auch wenn die Speicherung im Cache es Ihnen nicht ermöglicht, die Änderungen von anderen einzusehen, sind Sie weiterhin in der Lage, die aktuellsten Listeninformationen auf Basis Ihrer Änderungen anzuzeigen, da Ihre Änderungen die Listen sowohl auf dem Server als auch im Cache aktualisieren. Wenn Sie den Cache aktualisieren wollen, um die Änderungen von anderen anzuzeigen und die aktuellsten Kopien der Listen abzurufen, können Sie jederzeit das Menü Aktualisieren verwenden, wenn Sie den Cache mit Daten vom Server aktualisieren möchten.

Starten des SEAM Tool

  1. Starten Sie das SEAM Tool mit dem Befehl gkadmin. 


    $ /usr/krb5/sbin/gkadmin

    Das Fenster "Anmeldung" wird angezeigt.

    Graphic

  2. Wenn Sie die Standardwerte nicht verwenden möchten, legen Sie neue fest.

    Das Fenster "Anmeldung" fügt automatisch die Standardwerte ein. Der Standardname für den Hauptbenutzer wird bestimmt, indem Ihre aktuelle Identität von der Umgebungsvariablen USER übernommen und /admin daran angehängt wird (benutzername/admin). Die Felder für den Standardbereich und das Master-KDC werden der Datei /etc/krb5/krb5.conf entnommen. Wenn Sie zu den Standardwerten zurückkehren möchten, klicken Sie auf "Erneute Eingabe".

    Hinweis -

    Die Verwaltungsvorgänge, die vom Hauptbenutzernamen durchgeführt werden können, werden von der Kerberos ACL-Datei /etc/krb5/kadm5.acl vorgegeben. Weitere Informationen zu eingeschränkten Berechtigungen finden Sie unter "Verwenden des SEAM Tool mit eingeschränkten Kerberos-Verwaltungsberechtigungen".

  3. Geben Sie für den angegebenen Hauptbenutzernamen ein Passwort ein.

  4. Klicken Sie auf "OK".

    Das folgende Fenster wird angezeigt.

    Graphic

Verwalten von Hauptbenutzern

In diesem Abschnitt werden schrittweise Anleitungen für die Verwaltung von Hauptbenutzern mit dem SEAM Tool bereitgestellt. Außerdem werden zu jedem Verfahren, wenn möglich, Beispiele für Befehlszeilen-Äquivalente unter Verwendung des Befehls kadmin aufgeführt.

Aufgabentabelle zur Verwaltung von Hauptbenutzern

Tabelle 5-2 Aufgabentabelle zur Verwaltung von Hauptbenutzern

Aufgabe 

Beschreibung 

Anleitungen finden Sie unter ... 

Anzeigen der Hauptbenutzerliste 

Zeigen Sie die Hauptbenutzerliste an, indem Sie auf die Registerkarte "Hauptbenutzer" klicken. 

"Anzeigen der Hauptbenutzerliste"

Anzeigen der Hauptbenutzerattribute  

Zeigen Sie die Hauptbenutzerattribute an, indem Sie den Hauptbenutzer in der Hauptbenutzerliste auswählen und auf die Schaltfläche "Ändern" klicken.  

"Anzeigen der Hauptbenutzerattribute"

Erstellen eines neuen Hauptbenutzers 

Erstellen Sie einen neuen Hauptbenutzer, indem Sie auf die Schaltfläche "Neu erzeugen" des Bildschirms "Liste der Hauptbenutzer" klicken. 

"Erstellen eines neuen Hauptbenutzers"

Duplizieren eines Hauptbenutzers 

Duplizieren Sie einen Hauptbenutzer, indem Sie den zu duplizierenden Hauptbenutzer in der Liste der Hauptbenutzer auswählen und dann auf die Schaltfläche "Duplizieren" klicken. 

"Duplizieren eines Hauptbenutzers"

Ändern eines Hauptbenutzers 

Ändern Sie einen Hauptbenutzer, indem Sie den zu ändernden Hauptbenutzer in der Liste der Hauptbenutzer auswählen und auf die Schaltfläche "Ändern" klicken.  

Der Name eines Hauptbenutzers kann nicht geändert werden. Sie müssen den Hauptbenutzer kopieren, einen neuen Namen für diesen festlegen und dann den alten Hauptbenutzer löschen, um einen Hauptbenutzer umzubenennen. 

"Ändern eines Hauptbenutzers"

Löschen eines Hauptbenutzers 

Löschen Sie einen Hauptbenutzer, indem Sie den zu löschenden Hauptbenutzer in der Liste der Hauptbenutzer auswählen und auf die Schaltfläche "Löschen" klicken.  

"Löschen eines Hauptbenutzers"

Einrichten von Standardwerten für die Erstellung neuer Hauptbenutzer 

Sie können die Zwischenspeicherung der Listen über den Befehl "Eigenschaften" im Menü "Bearbeiten" festlegen. 

"Einrichten von Standardwerten für die Erstellung neuer Hauptbenutzer"

Ändern der Kerberos- Verwaltungs-berechtigungen (Datei kadm5.acl)

Nur Befehlszeile. Die Berechtigungen für die Kerberos-Verwaltung bestimmen, welche Operationen ein Hauptbenutzer für die Kerberos-Datenbank durchführen kann, wie z. B. das Hinzufügen oder Ändern. Sie müssen die Datei /etc/krb5/kadm5.acl bearbeiten, um für jeden Hauptbenutzer die Berechtigungen für die Kerberos-Verwaltung zu ändern.

"Ändern der Kerberos-Verwaltungsberechtigungen"

Automatisieren der Erstellung neuer Hauptbenutzer

Obwohl das SEAM Tool einfach zu verwenden ist, ermöglicht es nicht die Automatisierung der Erstellung neuer Hauptbenutzer. Die Automatisierung ist besonders hilfreich, wenn Sie in kurzer Zeit zehn oder sogar 100 neue Hauptbenutzer hinzufügen müssen. Durch die Ausführung des Befehls kadmin.local in einem Bourne Shell-Skript können Sie genau dies erreichen.

Die folgende Zeile eines Shell-Skripts stellt ein Beispiel für diesen Vorgang dar: 

sed -e 's/^\(.*\)$/ank +needchange -pw \1 \1/' < princnames |
        time /usr/krb5/sbin/kadmin.local> /dev/null

Dieses Beispiel wurde auf 2 Zeilen aufgeteilt, um die Lesbarkeit zu verbessern. Dieses Skript liest eine Datei namens hauptbenutzernamen ein, die Hauptbenutzernamen und ihre Passwörter enthält, und fügt diese zur Kerberos-Datenbank hinzu. Sie müßten die Datei hauptbenutzernamen erstellen, die in jeder Zeile einen Hauptbenutzernamen und das dazugehörige Passwort enthalten muss, die durch ein oder mehrere Leerzeichen getrennt werden. Die Option +needchange konfiguriert den Hauptbenutzer, damit der Benutzer zur Eingabe eines neuen Passworts aufgefordert wird, wenn er sich zum ersten Mal mit dem Hauptbenutzer anmeldet. Dies hilft sicherzustellen, dass die Passwörter in der Datei hauptbenutzernamen kein Sicherheitsrisiko darstellen.

Dies ist nur ein Bespiel. Sie können ausführlichere Skripts erstellen, indem Sie die Informationen des Namen-Services verwenden, um die Liste mit Benutzernamen für die Hauptbenutzernamen abzurufen. Was Sie tun und wie Sie vorgehen, hängt von den Anforderungen Ihrer Site und Ihren Erfahrungen bei der Skripterstellung ab.

Anzeigen der Hauptbenutzerliste

Ein Beispiel für das entsprechende Befehlszeilen-Äquivalent folgt auf diese Prozedur.

  1. Starten Sie bei Bedarf das SEAM Tool.

    Weitere Informationen finden Sie unter "Starten des SEAM Tool".

  2. Klicken Sie auf die Registerkarte "Hauptbenutzer".

    Die Liste der Hauptbenutzer wird angezeigt.

    Graphic

  3. Geben Sie eine Filterzeichenfolge in das Feld "Filtermuster" ein, und drücken Sie die Eingabetaste, um einen bestimmten Hauptbenutzer oder eine Unterliste mit Hauptbenutzern anzuzeigen. Bei erfolgreicher Anwendung des Filters wird die Liste mit den Hauptbenutzern angezeigt, die mit dem Filter übereinstimmen.

    Die Filterzeichenfolge muss aus einem oder mehreren Zeichen bestehen. Da der Filtermechanismus zwischen Groß- und Kleinschreibung unterscheidet, müssen Sie die entsprechenden Groß- oder Kleinbuchstaben für den Filter verwenden. Wenn Sie z. B. die Filterzeichenfolge ge eingeben, zeigt der Filtermechanismus nur Hauptbenutzer an, die die Zeichenfolge ge enthalten (beispielweise georg oder lage).

    Wenn Sie die vollständige Liste mit Hauptbenutzern anzeigen möchten, klicken Sie auf "Filter löschen".

Beispiel -- Anzeigen der Hauptbenutzerliste (Befehlszeile)

Das folgende Beispiel verwendet den Befehllist_principals von kadmin, um alle Hauptbenutzer aufzuführen, die mit test* übereinstimmen. Mit dem Befehl list_principals können auch Platzhalter verwendet werden.


kadmin: list_principals test*
test1@ACME.COM
test2@ACME.COM
kadmin: quit

Anzeigen der Hauptbenutzerattribute

Ein Beispiel für das entsprechende Befehlszeilen-Äquivalent folgt auf diese Prozedur.

  1. Starten Sie bei Bedarf das SEAM Tool.

    Weitere Informationen finden Sie unter "Starten des SEAM Tool".

  2. Klicken Sie auf die Registerkarte "Hauptbenutzer".

  3. Wählen Sie den anzuzeigenden Hauptbenutzer in der Liste, und klicken Sie auf "Ändern".

    Der Bildschirm "Grundeinstellungen für Hauptbenutzer" wird angezeigt, der einige Attribute des Hauptbenutzers enthält.

  4. Klicken Sie weiter auf "Nächstes", um alle Attribute des Hauptbenutzers anzuzeigen.

    Es sind drei Fenster mit Attributinformationen vorhanden. Wählen Sie aus dem Menü "Hilfe" den Befehl "Kontextbezogene Hilfe", um Informationen über die verschiedenen Attribute in jedem Fenster abzurufen. Beschreibungen zu allen Hauptbenutzerattributen finden Sie unter "SEAM Tool Bildschirmbeschreibungen".

  5. Wenn Sie mit der Anzeige fertig sind, klicken Sie auf "Abbrechen".

Beispiel-- Anzeigen der Hauptbenutzerattribute

Das folgende Beispiel zeigt das erste Fenster, wenn der Hauptbenutzer jdb/admin angezeigt wird.

Graphic

Beispiel-- Anzeigen der Hauptbenutzerattribute (Befehlszeile)

Das folgende Beispiel verwendet den Befehl get_principal von kadmin, um die Attribute des Hauptbenutzers jdb/admin anzuzeigen.


kadmin: getprinc jdb/admin
Hauptbenutzer: jdb/admin@ACME.COM
Ablaufdatum: Fre Aug 25 17:19:05 MEZ 2000
Letzte Passwortänderung: [nie]
Ablaufdatum für Passwort: Mit Apr 14 11:53:10 MEZ 1999
Maximale Lebensdauer des Tickets: 1 Tag 16:00:00
Maximale erneuerbare Lebensdauer: 1 Tag 16:00:00
Letzte Änderung: Don Jan 14 11:54:09 PST 1999 (admin/admin@ACME.COM)
Letzte erfolgreiche Authentisierung: [nie]
Letzte fehlgeschlagene Authentisierung: [nie]
Fehlgeschlagene Passwortversuche: 0
Schlüsselanzahl: 1
Schlüssel: vno 1, DES cbc-Modus mit CRC-32, keine salt
Attribute: REQUIRES_HW_AUTH
Richtlinie: [keine]
kadmin: quit

Erstellen eines neuen Hauptbenutzers

Ein Beispiel für das entsprechende Befehlszeilen-Äquivalent folgt auf diese Prozedur.

  1. Starten Sie bei Bedarf das SEAM Tool.

    Weitere Informationen finden Sie unter "Starten des SEAM Tool".

    Hinweis -

    Wenn Sie einen neuen Hauptbenutzer erstellen, der eine neue Richtlinie benötigt, dann sollten Sie die Richtlinie vor dem neuen Hauptbenutzer erstellen. Weitere Informationen finden Sie unter "Erstellen einer neuen Richtlinie".

  2. Klicken Sie auf die Registerkarte "Hauptbenutzer".

  3. Klicken Sie auf "Neu".

    Der Bildschirm "Grundeinstellungen für Hauptbenutzer" wird angezeigt, der einige Attribute des Hauptbenutzers enthält.

  4. Legen Sie ein Hauptbenutzernamen und ein Passwort fest.

    Sowohl der Hauptbenutzername als auch das Passwort sind erforderlich.

  5. Legen Sie Werte für die Attribute des Hauptbenutzers fest, und klicken Sie dann auf "Nächstes", um weitere Attribute festzulegen.

    Es sind drei Fenster mit Attributinformationen vorhanden. Wählen Sie aus dem Menü "Hilfe" den Befehl "Kontextbezogene Hilfe", um Informationen über die verschiedenen Attribute in jedem Fenster abzurufen. Beschreibungen zu allen Hauptbenutzerattributen finden Sie unter "SEAM Tool Bildschirmbeschreibungen".

  6. Klicken Sie auf "Speichern", um den Hauptbenutzer zu speichern, oder klicken Sie auf dem letzten Bildschirm auf "Fertig".

  7. Richten Sie bei Bedarf Kerberos-Verwaltungsberechtigungen für den neuen Hauptbenutzer in der Datei /etc/krb5/kadm5.acl ein.

    Weitere Informationen finden Sie unter "Ändern der Kerberos-Verwaltungsberechtigungen".

Beispiel -- Erstellen eines neuen Hauptbenutzers

Das folgende Beispiel zeigt den Bildschirm für die Grundeinstellungen des Hauptbenutzers bei der Erstellung eines neuen Hauptbenutzers namens pak an. Bis jetzt wurde testuser (Testbenutzer) als Richtlinie festgelegt.

Graphic

Beispiel -- Erstellen eines neuen Hauptbenutzers (Befehlszeile)

Das folgende Beispiel verwendet den Befehl add_principal von kadmin, um einen neuen Hauptbenutzer namens pak zu erstellen. Für die Richtlinie des Hauptbenutzers wurde testuser (Testbenutzer) festgelegt. 


kadmin: add_principal -policy testuser pak
Geben Sie das Passwort für den Hauptbenutzer "pak@ACME.COM" ein: <Eingabe des Passworts>
Geben Sie das Passwort für Hauptbenutzer "pak@ACME.COM" erneut ein: <Passwort erneut eingeben>
Hauptbenutzer "pak@ACME.COM" wurde erstellt.
kadmin: quit

Duplizieren eines Hauptbenutzers

Dieses Verfahren erläutert, wie alle oder einige Attribute eines vorhandenen Hauptbenutzers verwendet werden können, um einen neuen Hauptbenutzer zu erstellen. Für dieses Verfahren gibt es kein Befehlszeilen-Äquivalent.

  1. Starten Sie bei Bedarf das SEAM Tool.

    Weitere Informationen finden Sie unter "Starten des SEAM Tool".

  2. Klicken Sie auf die Registerkarte "Hauptbenutzer".

  3. Wählen Sie den zu duplizierenden Hauptbenutzer in der Liste, und klicken Sie auf "Duplizieren".

    Der Bildschirm "Grundeinstellungen für Hauptbenutzer" wird angezeigt. Alle Attribute des ausgewählten Hauptbenutzers, mit Ausnahme der Felder für Hauptbenutzername und Passwort, die leer sind, werden kopiert.

  4. Legen Sie ein Hauptbenutzernamen und ein Passwort fest.

    Sowohl der Hauptbenutzername als auch das Passwort sind erforderlich. Wenn Sie eine exakte Kopie des ausgewählten Hauptbenutzers erstellen möchten, klicken Sie auf "Speichern" und gehen bis zum letzten Schritt vor.

  5. Legen Sie unterschiedliche Werte für die Attribute des Hauptbenutzers fest, und klicken Sie dann auf "Nächstes", um weitere Attribute festzulegen.

    Es sind drei Fenster mit Attributinformationen vorhanden. Wählen Sie aus dem Menü "Hilfe" den Befehl "Kontextbezogene Hilfe", um Informationen über die verschiedenen Attribute in jedem Fenster abzurufen. Beschreibungen zu allen Hauptbenutzerattributen finden Sie unter "SEAM Tool Bildschirmbeschreibungen".

  6. Klicken Sie auf "Speichern", um den Hauptbenutzer zu speichern, oder klicken Sie auf dem letzten Bildschirm auf "Fertig".

  7. Richten Sie bei Bedarf für den Hauptbenutzer Kerberos-Verwaltungsberechtigungen in der Datei /etc/krb5/kadm5.acl ein.

    Weitere Informationen finden Sie unter "Ändern der Kerberos-Verwaltungsberechtigungen".

Ändern eines Hauptbenutzers

Ein Beispiel für das entsprechende Befehlszeilen-Äquivalent folgt auf diese Prozedur.

  1. Starten Sie bei Bedarf das SEAM Tool.

    Weitere Informationen finden Sie unter "Starten des SEAM Tool".

  2. Klicken Sie auf die Registerkarte "Hauptbenutzer".

  3. Wählen Sie den zu ändernden Hauptbenutzer in der Liste, und klicken Sie auf "Ändern".

    Der Bildschirm "Grundeinstellungen für Hauptbenutzer" wird angezeigt, der einige Attribute des Hauptbenutzers enthält.

  4. Ändern Sie die Attribute des Hauptbenutzers, und klicken Sie dann auf "Nächstes", um weitere Attribute zu ändern.

    Es sind drei Fenster mit Attributinformationen vorhanden. Wählen Sie aus dem Menü "Hilfe" den Befehl "Kontextbezogene Hilfe", um Informationen über die verschiedenen Attribute in jedem Fenster abzurufen. Beschreibungen zu allen Hauptbenutzerattributen finden Sie unter "SEAM Tool Bildschirmbeschreibungen".

    Hinweis -

    Der Name eines Hauptbenutzers kann nicht geändert werden. Sie müssen den Hauptbenutzer kopieren, einen neuen Namen für diesen festlegen und dann den alten Hauptbenutzer löschen, um einen Hauptbenutzer umzubenennen.

  5. Klicken Sie auf "Speichern", um den Hauptbenutzer zu speichern, oder klicken Sie auf dem letzten Bildschirm auf "Fertig".

  6. Ändern Sie die Kerberos-Verwaltungsberechtigungen für den Hauptbenutzer in der Datei /etc/krb5/kadm5.acl.

    Weitere Informationen finden Sie unter "Ändern der Kerberos-Verwaltungsberechtigungen".

Beispiel -- Ändern eines Hauptbenutzerpassworts (Befehlszeile)

Im folgenden Beispiel wird der Befehl change_password von kadmin verwendet, um das Passwort für den Hauptbenutzer jdb zu ändern. Mit change_password können Sie kein Passwort angeben, das sich im Passwortverlauf des Hauptbenutzers befindet.


kadmin: change_password jdb
Geben Sie das Passwort für Hauptbenutzer "jdb" ein: <Neues Passwort eingeben>
Geben Sie das Passwort für Hauptbenutzer "jdb" erneut ein: <Passwort erneut eingeben>
Das Passwort für "jdb@ACME.COM" wurde geändert.
kadmin: quit

Sie müssen den Befehl modify_principal von kadmin verwenden, um weitere Attribute eines Hauptbenutzers zu ändern.

Löschen eines Hauptbenutzers

Ein Beispiel für das entsprechende Befehlszeilen-Äquivalent folgt auf diese Prozedur.

  1. Starten Sie bei Bedarf das SEAM Tool.

    Weitere Informationen finden Sie unter "Starten des SEAM Tool".

  2. Klicken Sie auf die Registerkarte "Hauptbenutzer".

  3. Wählen Sie den zu löschenden Hauptbenutzer in der Liste, und klicken Sie auf "Löschen".

    Nachdem Sie den Löschvorgang bestätigt haben, wird der Hauptbenutzer gelöscht.

  4. Entfernen Sie den Hauptbenutzer aus der Datei /etc/krb5/kadm5.acl mit den Kerberos ACLs.

    Weitere Informationen finden Sie unter "Ändern der Kerberos-Verwaltungsberechtigungen".

Beispiel -- Löschen eines Hauptbenutzers (Befehlszeile)

Im folgenden Beispiel wird der Befehl delete_principal von kadmin verwendet, um den Hauptbenutzer jdb zu löschen. 


kadmin: delete_principal pak
Sind Sie sicher, dass Sie den Hauptbenutzer "pak@ACME.COM" löschen möchten? (Ja/Nein): Ja
Hauptbenutzer "pak@ACME.COM" wurde gelöscht.
Stellen Sie sicher, dass Sie diesen Hauptbenutzer vor der erneuten  Verwendung aus allen 
ACLs (Zugriffsteuerungslisten) entfernt haben.
kadmin: quit

Einrichten von Standardwerten für die Erstellung neuer Hauptbenutzer

Für dieses Verfahren gibt es kein Befehlszeilen-Äquivalent.

  1. Starten Sie bei Bedarf das SEAM Tool.

    Weitere Informationen finden Sie unter "Starten des SEAM Tool".

  2. Wählen Sie im Menü "Bearbeiten" den Befehl "Eigenschaften" aus.

    Das Fenster "Eigenschaften" wird angezeigt.

    Graphic

  3. Wählen Sie die Standardwerte, die Sie für die Erstellung neuer Hauptbenutzer verwenden möchten.

    Wählen Sie aus dem Menü "Hilfe" den Befehl "Kontextbezogene Hilfe", um Informationen über die verschiedenen Attribute in jedem Fenster abzurufen.

  4. Klicken Sie auf "Speichern".

Ändern der Kerberos-Verwaltungsberechtigungen

Obwohl Ihre Site sicherlich über viele Benutzer-Hauptbenutzer verfügt, möchten Sie normalerweise nur einigen von ihnen die Möglichkeit zur Verwaltung der Kerberos-Datenbank bieten. Die Berechtigungen für die Verwaltung der Kerberos-Datenbank werden in der Datei für die Kerberos-Zugriffssteuerungsliste (ACL, Access Control List) kadm5.acl(4) bestimmt. Mit der Datei kadm5.acl können Sie Berechtigungen für einzelne Hauptbenutzer erteilen oder zurücknehmen. Sie können auch den Platzhalter '*' in Hauptbenutzernamen verwenden, um Berechtigungen für Hauptbenutzergruppen festzulegen.

  1. Melden Sie sich als Superuser beim Master-KDC an.

  2. Bearbeiten Sie die Datei /etc/krb5/kadm5.acl.

    Einträge in der Datei kadm5.acl müssen das folgende Format besitzen:


    Hauptbenutzer   Berechtigungen  [Hauptbenutzer_Ziel]

    Hauptbenutzer

    Der Hauptbenutzer, dem die Berechtigungen erteilt werden. Jeder Teil des Hauptbenutzernamens kann den Platzhalter '*' einbeziehen, der bei der Erteilung derselben Berechtigungen zu einer Hauptbenutzergruppe hilfreich ist. Wenn Sie z. B. alle Hauptbenutzer mit der Instanz admin festlegen möchten, verwenden Sie */admin@Bereich. Beachten Sie, dass eine häufige Verwendung der Instanz admin die Erteilung separater Berechtigungen (wie der Verwaltungszugriff auf die Kerberos-Datenbank) für einen separatem Kerberos-Hauptbenutzer darstellt. Der Benutzer jdb könnte z. B. einen Hauptbenutzer namens jdb/admin für diese Verwaltungsaufgabe besitzen. Auf diese Weise erhält jdb Tickets für jdb/admin nur dann, wenn er diese Berechtigungen tatsächlich verwenden muss.

    Berechtigungen

    Legen fest, welche Operationen vom Hauptbenutzer durchgeführt werden können. Sie bestehen aus einer Zeichenfolge aus einem oder mehreren Zeichen der folgenden Liste oder ihren Entsprechungen in Großbuchstaben. Wenn es sich bei dem Zeichen um einen Großbuchstaben handelt (oder es nicht angegeben wurde), dann wurde die Operation abgelehnt. Ein Kleinbuchstabe als Zeichen weist auf eine zugelassene Operation hin. 

     

    a

    Erlaubt das Hinzufügen von Hauptbenutzern und Richtlinien [nicht]. 

     

    d

    Erlaubt das Löschen von Hauptbenutzern und Richtlinien [nicht]. 

     

    m

    Erlaubt das Ändern von Hauptbenutzern und Richtlinien [nicht].  

     

    c

    Erlaubt das Ändern von Passwörtern für Hauptbenutzer [nicht]. 

     

    i

    Erlaubt Anfragen bei der Datenbank [nicht]. 

     

    l

    Erlaubt das Aufführen von Hauptbenutzern und Richtlinien [nicht]. 

     

    x oder *

    Erlaubt alle Berechtigungen (admcil)

    Hauptbenutzer_Ziel

    Wenn in diesem Feld ein Hauptbenutzer festgelegt wurde, werden die Berechtigungen nur dann dem Hauptbenutzer zugewiesen, wenn er auf dem Hauptbenutzer_Ziel aktiv ist. Jeder Teil des Hauptbenutzernamens kann den Platzhalter '*' enthalten, der bei der Gruppierung von Hauptbenutzern hilfreich ist.

Beispiel-- Ändern der Kerberos-Verwaltungsberechtigungen

Mit dem folgenden Eintrag in der Datei kadm5.acl werden jedem Hauptbenutzer im Bereich ACME.COM mit der Instanz admin alle Berechtigungen für die Datenbank erteilt.


*/admin@ACME.COM *

Mit dem folgenden Eintrag in der Datei kadm5.acl wird dem Hauptbenutzer jdb@ACME.COM die Berechtigung zum Hinzufügen und Aufführen erteilt sowie die Berechtigung, Anfragen zu jedem Hauptbenutzer zu stellen, der die Instanz root besitzt. 


jdb@ACME.COM ali */root@ACME.COM

Verwalten von Richtlinien

In diesem Abschnitt werden schrittweise Anleitungen für die Verwaltung von Richtlinien mit dem SEAM Tool bereitgestellt. Außerdem werden, wenn möglich, Beispiele für Befehlszeilen-Äquivalente unter Verwendung des Befehls kadmin aufgeführt.

Aufgabentabelle zur Verwaltung von Richtlinien

Tabelle 5-3 Aufgabentabelle zur Verwaltung von Richtlinien

Aufgabe 

Beschreibung 

Anleitungen finden Sie unter ... 

Anzeigen der Richtlinienliste 

Zeigen Sie die Liste der Richtlinien an, indem Sie auf die Registerkarte "Richtlinien" klicken. 

"Anzeigen der Richtlinienliste"

Anzeigen der Richtlinienattribute 

Zeigen Sie die Richtlinienattribute an, indem Sie die Richtlinie in der Richtlinienliste auswählen und auf die Schaltfläche "Ändern" klicken. 

"Anzeigen der Richtlinienattribute"

Erstellen einer neuen Richtlinie 

Erstellen Sie eine neue Richtlinie, indem Sie auf die Schaltfläche "Neu erzeugen" des Bildschirms "Liste der Richtlinien" klicken. 

"Erstellen einer neuen Richtlinie"

Duplizieren einer Richtlinie 

Duplizieren Sie eine Richtlinie, indem Sie die zu duplizierende Richtlinie in der Liste der Richtlinien auswählen und dann auf die Schaltfläche "Duplizieren" klicken.  

"Duplizieren einer Richtlinie"

Richtlinie ändern 

Ändern Sie eine Richtlinie, indem Sie die zu ändernde Richtlinie in der Liste der Richtlinien auswählen und auf die Schaltfläche "Ändern" klicken. 

Der Name einer Richtlinie kann nicht geändert werden. Sie müssen die Richtlinie kopieren, einen neuen Namen für diese festlegen und sie speichern sowie die alte Richtlinie löschen, um eine Richtlinie umzubenennen. 

"Ändern einer Richtlinie"

Löschen einer Richtlinie 

Löschen Sie eine Richtlinie, indem Sie die zu löschende Richtlinie in der Liste der Richtlinien auswählen und dann auf die Schaltfläche "Löschen" klicken. 

"Löschen einer Richtlinie"

Anzeigen der Richtlinienliste

Ein Beispiel für das entsprechende Befehlszeilen-Äquivalent folgt auf diese Prozedur.

  1. Starten Sie bei Bedarf das SEAM Tool.

    Weitere Informationen finden Sie unter "Starten des SEAM Tool".

  2. Klicken Sie auf die Registerkarte "Richtlinien".

    Die Liste der Richtlinien wird angezeigt.

    Graphic

  3. Geben Sie eine Filterzeichenfolge in das Feld "Filtermuster" ein, und drücken Sie die Eingabetaste, um einen bestimmten Hauptbenutzer oder eine Unterliste mit Richtlinien anzuzeigen. Bei erfolgreicher Anwendung des Filters wird die Liste mit den Richtlinien angezeigt, die mit dem Filter übereinstimmen.

    Die Filterzeichenfolge muss aus einem oder mehreren Zeichen bestehen. Da der Filtermechanismus zwischen Groß- und Kleinschreibung unterscheidet, müssen Sie die entsprechenden Groß- oder Kleinbuchstaben für den Filter verwenden. Wenn Sie z. B. die Filterzeichenfolge ge eingeben, zeigt der Filtermechanismus nur Richtlinien an, die die Zeichenfolge ge enthalten (beispielweise georg oder lage).

    Wenn Sie die vollständige Liste mit Richtlinien anzeigen möchten, klicken Sie auf "Filter löschen".

Beispiel-- Anzeigen der Richtlinienliste (Befehlszeile)

Im folgenden Beispiel wird der Befehl list_policies von kadmin verwendet, um alle Richtlinien aufzuführen, die mit *user* übereinstimmen. Mit dem Befehl list_policies können auch Platzhalter verwendet werden.


kadmin: list_policies *user*
testuser
enguser
kadmin: quit

Anzeigen der Richtlinienattribute

Ein Beispiel für das entsprechende Befehlszeilen-Äquivalent folgt auf diese Prozedur.

  1. Starten Sie bei Bedarf das SEAM Tool.

    Weitere Informationen finden Sie unter "Starten des SEAM Tool".

  2. Klicken Sie auf die Registerkarte "Richtlinien".

  3. Wählen Sie die anzuzeigende Richtlinie in der Liste, und klicken Sie auf "Ändern".

    Der Bildschirm "Details für Richtlinien" wird angezeigt.

  4. Wenn Sie mit der Anzeige fertig sind, klicken Sie auf "Abbrechen".

Beispiel-- Anzeigen der Richtlinienattribute

In dem folgenden Beispiel wird der Bildschirm "Details für Richtlinien" geöffnet, wenn die Richtlinietest angezeigt wird.

Graphic

Beispiel-- Anzeigen der Richtlinienattribute (Befehlszeile)

Im folgenden Beispiel wird der Befehl get_policy von kadmin verwendet, um die Attribute der Richtlinie enguser anzuzeigen.


kadmin: get_policy enguser
Richtlinie: enguser
Maximale Lebensdauer des Passworts: 2592000
Minimale Lebensdauer des Passworts: 0
Minimale Passwortlänge: 8
Minimale Anzahl an Passwort-Zeichenklassen: 2
Anzahl erhaltener alter Schlüssel: 3
Referenzzähler: 0
kadmin: quit

Der Referenzzähler steht für die Anzahl der Hauptbenutzer, die diese Richtlinie verwenden.

Erstellen einer neuen Richtlinie

Ein Beispiel für das entsprechende Befehlszeilen-Äquivalent folgt auf diese Prozedur.

  1. Starten Sie bei Bedarf das SEAM Tool.

    Weitere Informationen finden Sie unter "Starten des SEAM Tool".

  2. Klicken Sie auf die Registerkarte "Richtlinien".

  3. Klicken Sie auf "Neu".

    Der Bildschirm "Details für Richtlinien" wird angezeigt.

  4. Geben Sie für die Richtlinie einen Namen im Feld Richtlinienname ein.

    Der Richtlinienname ist erforderlich.

  5. Legen Sie Werte für die Richtlinienattribute fest.

    Wählen Sie aus dem Menü "Hilfe" den Befehl "Kontextbezogene Hilfe", um Informationen über die verschiedenen Attribute in jedem Fenster abzurufen. Unter Tabelle 5-7 finden Sie eine Beschreibung für alle Richtlinienattribute.

  6. Klicken Sie zum Speichern der Richtlinie auf "Speichern", oder klicken Sie auf "Fertig".

Beispiel-- Erstellen einer neuen Richtlinie

Im folgenden Beispiel wird die Erstellung einer neuen Richtlinie namens build11 gezeigt. Bis jetzt wurde der Wert 3 für die minimale Anzahl der Passwortklassen festgelegt.

Graphic

Beispiel -- Erstellen einer neuen Richtlinie (Befehlszeile)

Im folgenden Beispiel wird der Befehl add_policy von kadmin verwendet, um die Richtlinie build11 zu erstellen, die mindestens 3 Zeichenklassen in einem Passwort erfordert.


$ kadmin
kadmin: add_policy -minclasses 3 build11
kadmin: quit

Duplizieren einer Richtlinie

Dieses Verfahren erläutert, wie alle oder einige Attribute einer vorhandenen Richtlinie dazu verwendet werden können, um eine neue Richtlinie zu erstellen. Für dieses Verfahren gibt es kein Befehlszeilen-Äquivalent.

  1. Starten Sie bei Bedarf das SEAM Tool.

    Weitere Informationen finden Sie unter "Starten des SEAM Tool".

  2. Klicken Sie auf die Registerkarte "Richtlinien".

  3. Wählen Sie die zu duplizierenden Richtlinie in der Liste, und klicken Sie auf "Duplizieren".

    Der Bildschirm "Details für Richtlinien" wird angezeigt. Alle Attribute der ausgewählten Richtlinie werden mit Ausnahme des Feldes für den Richtlinienname kopiert, das leer ist.

  4. Geben Sie für die kopierte Richtlinie einen Namen im Feld "Richtlinienname" ein.

    Der Richtlinienname ist erforderlich. Wenn Sie eine exakte Kopie der ausgewählten Richtlinie erstellen möchten, klicken Sie auf "Speichern" und gehen bis zum letzten Schritt vor.

  5. Legen Sie unterschiedliche Werte für die Richtlinienattribute fest.

    Wählen Sie aus dem Menü "Hilfe" den Befehl "Kontextbezogene Hilfe", um Informationen über die verschiedenen Attribute in jedem Fenster abzurufen. Unter Tabelle 5-7 finden Sie eine Beschreibung für alle Richtlinienattribute.

  6. Klicken Sie zum Speichern der Richtlinie auf "Speichern", oder klicken Sie auf "Fertig".

Ändern einer Richtlinie

Ein Beispiel für das entsprechende Befehlszeilen-Äquivalent folgt auf diese Prozedur.

  1. Starten Sie bei Bedarf das SEAM Tool.

    Weitere Informationen finden Sie unter "Starten des SEAM Tool".

  2. Klicken Sie auf die Registerkarte "Richtlinien".

  3. Wählen Sie die zu ändernde Richtlinie in der Liste, und klicken Sie auf "Ändern".

    Der Bildschirm "Details für Richtlinien" wird angezeigt.

  4. Ändern Sie die Attribute der Richtlinie.

    Wählen Sie aus dem Menü "Hilfe" den Befehl "Kontextbezogene Hilfe", um Informationen über die verschiedenen Attribute in jedem Fenster abzurufen. Unter Tabelle 5-7 finden Sie eine Beschreibung für alle Richtlinienattribute.

    Hinweis -

    Der Name eines Richtlinie kann nicht geändert werden. Sie müssen die Richtlinie kopieren, einen neuen Namen für diese festlegen und sie speichern sowie die alte Richtlinie löschen, um eine Richtlinie umzubenennen.

  5. Klicken Sie zum Speichern der Richtlinie auf "Speichern", oder klicken Sie auf "Fertig".

Beispiel -- Ändern einer Richtlinie (Befehlszeile)

Im folgenden Bespiel wird der Befehl modify_policy von kadmin verwendet, um die minimale Länge eines Passworts für die Richtlinie build11 auf fünf Zeichen festzulegen.


$ kadmin
kadmin: modify_policy -minlength 5 build11
kadmin: quit

Löschen einer Richtlinie

Ein Beispiel für das entsprechende Befehlszeilen-Äquivalent folgt auf diese Prozedur.

  1. Starten Sie bei Bedarf das SEAM Tool.

    Weitere Informationen finden Sie unter "Starten des SEAM Tool".

  2. Klicken Sie auf die Registerkarte "Richtlinien".

    Hinweis -

    Bevor Sie eine Richtlinie löschen, müssen Sie die Richtlinie von allen Hauptbenutzern trennen, die diese momentan verwenden (Sie müssen die Richtlinienattribute der Hauptbenutzer ändern). Die Richtlinie kann nicht gelöscht werden, wenn sie noch von einem Hauptbenutzer verwendet wird.

  3. Wählen Sie die zu löschenden Richtlinie in der Liste, und klicken Sie auf "Löschen".

    Nachdem Sie den Löschvorgang bestätigt haben, wird die Richtlinie gelöscht.

Beispiel -- Löschen einer Richtlinie (Befehlszeile)

Im folgenden Beispiel wird der Befehl delete_policy von kadmin verwendet, um die Richtlinie build11 zu löschen.


kadmin: delete_policy build11 
Sind Sie sicher, dass Sie die Richtlinie "build11" löschen möchten? (Ja/Nein): Ja
kadmin: quit

Bevor Sie eine Richtlinie löschen, müssen Sie die Richtlinie von allen Hauptbenutzern trennen, die diese momentan verwenden (wenden Sie dazu den Befehl modify_principal -policy von kadmin auf die Hauptbenutzer an). Der Befehl delete_policy kann die Richtlinie nicht löschen, wenn sie von einem Hauptbenutzer verwendet wird.

SEAM Tool Referenz

In diesem Abschnitt werden Referenzinformationen für das SEAM Tool bereitgestellt.

SEAM Tool Bildschirmbeschreibungen

In diesem Abschnitt werden Beschreibungen für jedes Hauptbenutzer- und Richtlinienattribut bereitgestellt, das Sie im SEAM-Tool entweder festlegen oder anzeigen können. Die Attribute werden so angeordnet, wie sie auf den Bildschirmen angezeigt werden.

Tabelle 5-4 Attribute des Bildschirms "Grundeinstellungen für Hauptbenutzer"

Attribut 

Beschreibung 

Hauptbenutzername 

Der Name des Hauptbenutzers (die primäre /Instanz ist Teil eines voll qualifizierten Hauptbenutzernamens). Ein Hauptbenutzer stellt eine eindeutige Identität dar, der das KDC Tickets zuweisen kann.

Wenn Sie einen Hauptbenutzer ändern, können Sie seinen Hauptbenutzernamen nicht bearbeiten. 

Passwort 

Das Passwort des Hauptbenutzers. Sie können die Schaltfläche "Zufälliges Passwort erzeugen" verwenden, um ein Passwort für den Hauptbenutzer zufällig zu vergeben.  

Richtlinie 

Ein Menü der für den Hauptbenutzer verfügbaren Richtlinien. 

Konto läuft ab 

Datum und Uhrzeit für den Ablauf des Kontos des Hauptbenutzers. Ist das Konto abgelaufen, kann der Hauptbenutzer kein TGT (Ticket-granting-Ticket) mehr empfangen und sich nicht mehr anmelden. 

Letzte Änderung des Hauptbenutzers  

Das Datum, an dem zuletzt Informationen für den Hauptbenutzer geändert wurden. (Schreibgeschützt) 

Zuletzt geändert von 

Der Name des Hauptbenutzers, der zuletzt den Zugang für diesen Hauptbenutzer geändert hat. (Schreibgeschützt) 

Kommentare 

Auf den Hauptbenutzer bezogene Kommentare (z.B. 'Zeitweiliges Konto') 

Tabelle 5-5 Attribute des Bildschirms "Details für Hauptbenutzer"

Attribut 

Beschreibung Beschreibung 

Letzter Erfolg 

Datum und Uhrzeit der letzten erfolgreichen Anmeldung des Hauptbenutzers. (Schreibgeschützt) 

Letzter Fehler 

Datum und Uhrzeit, an dem der letzte Anmeldefehler des Hauptbenutzers aufgetreten ist. (Schreibgeschützt) 

Fehlerzähler 

Die Häufigkeit der Anmeldefehler für den Hauptbenutzer. (Schreibgeschützt) 

Letzte Änderung des Passworts 

Datum und Zeit, an dem das Passwort des Hauptbenutzers zuletzt geändert wurde. (Schreibgeschützt) 

Zeitpunkt des Ablaufens des Passworts 

Datum und Uhrzeit des Ablaufs des aktuellen Passworts. 

Schlüssel-Version 

Die Schlüssel-Versionsnummer für den Hauptbenutzer; dies wird normalerweise nur geändert, wenn das Passwort nicht mehr geheim ist. 

Maximale Lebensdauer (Sekunden) 

Die maximale Zeit, die für ein Ticket eines Hauptbenutzers gewährt werden kann (ohne Erneuerung). 

Maximale Erneuerung (Sekunden) 

Die maximale Zeit, in der ein vorhandenes Ticket für einen Hauptbenutzer erneuert werden kann. 

Tabelle 5-6 Attribute des Bildschirms "Grundeinstellungen für Hauptbenutzer"

Attribut (Optionsschaltflächen) 

Beschreibung 

Konto deaktivieren 

Wenn diese Option markiert ist, kann sich der Hauptbenutzer nicht anmelden. Auf diese Weise kann ein Hauptbenutzerkonto einfach aus einem beliebigen Grund temporär "eingefroren" werden. 

Änderung des Passworts anfordern 

Wenn diese Option markiert ist, läuft das aktuelle Passwort des Hauptbenutzers ab, wodurch der Benutzer dazu gezwungen ist, den Befehl kpasswd zu verwenden, um ein neues Passwort zu erstellen. Dies ist hilfreich, wenn eine Sicherheitsverletzung vorhanden ist, und Sie sicherstellen müssen, dass alte Passwörter ersetzt werden.

Nachdatierte Tickets zulassen 

Wenn aktiviert, kann der Hauptbenutzer nachdatierte Tickets erhalten.  

Wenn Sie z. B. nachdatierte Tickets für Cron-Aufträge verwenden müssen, die nach Feierabend ausgeführt werden, und Sie wegen der kurzen Lebensdauer der Tickets keine Tickets im voraus abrufen können. 

Weiterreichen von Tickets zulassen 

Wenn aktiviert, kann der Hauptbenutzer weiterreichbare Tickets erhalten. 

Weiterreichbare Tickets sind Tickets, die an den entfernten Host weitergeleitet werden, um eine Sitzung mit einmaliger Anmeldung bereitzustellen. Wenn Sie z. B. weiterreichbare Tickets verwenden und sich selbst über ftp oder rsh authentisieren, sind andere Dienste, wie der NFS-Dienst, verfügbar, ohne dass Sie nach einem anderen Passwort gefragt werden.

Erneuerbare Tickets zulassen 

Wenn aktiviert, kann der Hauptbenutzer erneuerbare Tickets erhalten. 

Ein Hauptbenutzer kann das Ablaufdatum oder die Ablaufzeit eines erneuerbaren Tickets automatisch verlängern (anstatt ein neues Ticket abzurufen, nachdem das erste abgelaufen ist). Momentan ist der NFS-Service der einzige Service, der Tickets erneuern kann. 

Vollmachten-Tickets zulassen 

Wenn aktiviert, kann der Hauptbenutzer Vollmachten-Tickets erhalten. 

Ein Vollmachten-Ticket ist ein Ticket, dass im Auftrag eines Client von einem Dienst verwendet werden kann, um eine Operation für den Client durchzuführen. Mit einem Vollmachten-Ticket kann ein Dienst die Identität eines Clients annehmen und ein Ticket für einen anderen Dienst empfangen, jedoch kann er kein Ticket-granting Ticket erhalten. 

Dienste-Tickets zulassen 

Wenn diese Option markiert ist, können Dienste-Tickets für den Hauptbenutzer ausgestellt werden. 

Dienste-Tickets sollten nicht für die Hauptbenutzer kadmin/hostname und changepw/hostname ausgestellt werden. Dadurch wird sichergestellt, dass diese Hauptbenutzer nur die KDC-Datenbank aktualisieren können.

TGT-basierte Authentisierung zulassen  

Wenn diese Option markiert ist, kann der Dienste-Hauptbenutzer für andere Hauptbenutzer Dienste bereitstellen. Genauer gesagt, ermöglicht sie dem KDC ein Dienste-Ticket für den Dienste-Hauptbenutzer auszustellen. 

Dieses Attribut ist nur für Dienste-Hauptbenutzer gültig. Wenn diese Option nicht markiert ist, können keine Dienste-Tickets für den Dienste-Hauptbenutzer ausgegeben werden. 

Zweifache Authentisierung zulassen  

Wenn diese Option markiert ist, kann der Benutzer-Hauptbenutzer für andere Benutzer-Hauptbenutzer Dienste-Tickets entgegennehmen. 

Dieses Attribut ist nur für Benutzer-Hauptbenutzer gültig. Wenn diese Option nicht markiert ist, kann der Benutzer-Hauptbenutzer auch weiterhin Dienste-Tickets für Dienste-Hauptbenutzer, jedoch nicht für andere Benutzer-Hauptbenutzer entgegebennehmen. 

Erforderliche Vorauthentisierung 

Wenn diese Option markiert ist, sendet das KDC kein angefordertes Ticket-granting Ticket (TGT) an den Hauptbenutzer, bevor es nicht bestätigen konnte (mittels Software), dass es sich wirklich um den Hauptbenutzer handelt, der das TGT anfordert. Diese Pre-Authentisierung wird normalerweise über ein zusätzliches Passwort erreicht, z. B. von einer DES-Karte. 

Wenn diese Option nicht markiert ist, muss das KDC für den Hauptbenutzer keine Pre-Authentisierung durchführen, bevor es ein angefordertes TGT an ihn sendet. 

Erforderliche Hardware-Authentisierung  

Wenn diese Option markiert ist, sendet das KDC kein angefordertes Ticket-granting Ticket (TGT) an den Hauptbenutzer, bevor es nicht bestätigen konnte (mittels Hardware), dass es sich wirklich um den Hauptbenutzer handelt, der das TGT anfordert. Die Hardware-Pre-Authentisierung könnte z. B. einem Java-Ringreader ähnlich sein.  

Wenn diese Option nicht markiert ist, muss das KDC für den Hauptbenutzer keine Pre-Authentisierung durchführen, bevor es ein angefordertes TGT an ihn sendet. 

Tabelle 5-7 Attribute des Bildschirms "Grundeinstellungen für Richtlinien"

Attribut 

Beschreibung 

Name der Richtlinie 

Der Name der Richtlinie. Eine Richtlinie stellt eine Reihe von Regeln dar, die das Passwort und die Tickets eines Hauptbenutzers betreffen. 

Beim Ändern einer Richtlinie können Sie den Namen der Richtlinie nicht bearbeiten. 

Mindestlänge für Passwort 

Die minimale Länge des Passworts einer Richtlinie. 

Mindestklassen für Passwort 

Die Mindestanzahl der unterschiedlichen Zeichenarten, die im Passwort des Hauptbenutzers vorhanden sein müssen. 

Bei einem Wert für die minimale Anzahl der Klasse von z. B. 2, bedeutet dies, dass ein Passwort mindestens zwei unterschiedliche Zeichenarten besitzen muss, wie beispielsweise Buchstaben und Zahlen (hi2mom). Bei einem Wert von 3 bedeutet dies, dass ein Passwort mindestens drei unterschiedliche Zeichenarten besitzen muss, wie beispielsweise Buchstaben, Zahlen und Satzzeichen (hi2mom!). Und so weiter.  

Mit dem Wert 1 wird grundsätzlich keine Einschränkung für die Anzahl der im Passwort erforderlichen Zeichenarten festgelegt. 

Historie für gespeicherte Passwörter 

Die Anzahl früher vom Hauptbenutzer verwendeter Passwörter, die nicht wiederverwendet werden können. 

Minimale Lebensdauer für Passwörter (Sekunden)  

Die Mindestzeit, die ein Passwort verwendet werden muss, bevor es geändert werden kann. 

Maximale Lebensdauer für Passwörter (Sekunden)  

Die Höchstzeit, die ein Passwort verwendet werden kann, bevor es geändert werden muss. 

Hauptbenutzer, die diese Richtlinie verwenden 

Die Anzahl der Hauptbenutzer, für die diese Richtlinie z.Z. gültig ist. (Schreibgeschützt) 

Verwenden des SEAM Tool mit eingeschränkten Kerberos-Verwaltungsberechtigungen

Es sind alle Funktionen des SEAM-Verwaltungs-Tools verfügbar, wenn Ihr Hauptbenutzer admin alle Berechtigungen für die Verwaltung der Kerberos-Datenbank besitzt. Es ist jedoch möglich, nur über eingeschränkte Berechtigungen zu verfügen, um z. B. nur dazu berechtigt zu sein, die Hauptbenutzerliste anzuzeigen oder ein Hauptbenutzer-Passwort zu ändern. Mit eingeschränkten Kerberos-Verwaltungsberechtigungen können Sie auch weiterhin das SEAM-Verwaltungs-Tool verwenden. Verschiedene Komponenten des SEAM-Tools werden sich jedoch in Abhängigkeit davon ändern, über welche Kerberos-Verwaltungsberechtigungen Sie nicht verfügen. Tabelle 5-8 zeigt, wie sich das SEAM-Tool in Abhängigkeit von Ihren Kerberos-Verwaltungsberechtigungen ändert.

Die offensichtlichste Änderung des SEAM-Tools erfolgt, wenn Sie nicht über die Listen-Berechtigung verfügen. Ohne die Berechtigung zum Anzeigen von Listen zeigen die Listenbildschirme keine Listen mit den Hauptbenutzern und Richtlinien an, die Sie ändern möchten. Stattdessen müssen Sie das Feld "Name" der Listenbildschirme verwenden, um einen zu bearbeitenden Hauptbenutzer oder eine Richtlinie festzulegen.

Wenn Sie sich beim SEAM-Tool ohne ausreichende Berechtigungen zur Durchführung sinnvoller Aufgaben anmelden, wird die folgende Meldung angezeigt, und Sie werden zurück zum Fenster Anmeldung geführt:


Unzureichende Berechtigungen für die Verwendung von gkadmin: ADMCIL.
Versuchen Sie bitte, einen anderen Hauptbenutzer zu verwenden.

Informationen zum Ändern der Berechtigungen für einen Hauptbenutzer, um die Kerberos-Datenbank zu verwalten, finden Sie unter "Ändern der Kerberos-Verwaltungsberechtigungen".

Tabelle 5-8 Verwenden des SEAM-Tools mit eingeschränkten Kerberos-Verwaltungsberechtigungen

Fehlende Berechtigung 

Änderung am SEAM-Tool 

a (hinzufügen)

Die Schaltflächen "Neu erzeugen" und "Kopieren" sind auf den Listenbildschirmen für Hauptbenutzer und Richtlinien nicht verfügbar. Ohne die Berechtigung zum Hinzufügen können Sie keine neuen Hauptbenutzer oder Richtlinien erzeugen und diese auch nicht kopieren. 

d (löschen)

Die Schaltfläche "Löschen" ist auf den Listenbildschirmen für Hauptbenutzer und Richtlinien nicht verfügbar. Ohne die Berechtigung zum Löschen können Sie keine Hauptbenutzer oder Richtlinien löschen. 

m (ändern)

Die Schaltfläche "Ändern" ist auf den Listenbildschirmen für Hauptbenutzer und Richtlinien nicht verfügbar. Ohne die Berechtigung zum Ändern können Sie keine Hauptbenutzer oder Richtlinien ändern.  

Ohne die Schaltfläche zum Ändern können Sie auch das Passwort eines Hauptbenutzers nicht ändern, auch wenn Sie die Berechtigung zum Ändern von Passwörtern besitzen. 

c (Passwort ändern)

Das Feld "Passwort" des Bildschirms "Grundeinstellungen für Hauptbenutzer" ist schreibgeschützt und kann somit nicht geändert werden. Ohne die Berechtigung zum Ändern des Passworts können Sie keine Passwörter von Hauptbenutzern ändern.  

Beachten Sie, dass Sie auch die Berechtigung zum Ändern der Hauptbenutzer und Richtlinien besitzen müssen, falls Sie bereits über die Berechtigung zum Ändern von Passwörtern verfügen, um das Passwort eines Hauptbenutzers zu ändern. 

i (Datenbankabfrage)

Die Schaltflächen "Ändern" und "Kopieren" sind auf den Listenbildschirmen für Hauptbenutzer und Richtlinien nicht verfügbar. Ohne die Berechtigung zum Senden von Anfragen können Sie keine Hauptbenutzer oder Richtlinien ändern oder kopieren.  

Ohne die Schaltfläche zum Ändern können Sie auch das Passwort eines Hauptbenutzers nicht ändern, auch wenn Sie die Berechtigung zum Ändern von Passwörtern besitzen. 

l (Liste)

Die Liste der Hauptbenutzer und Richtlinien ist auf den Listenbildschirmen nicht verfügbar. Ohne die Berechtigung zum Anzeigen der Liste müssen Sie das Feld Name der Listenbildschirme verwenden, um einen zu bearbeitenden Hauptbenutzer oder eine Richtlinie festzulegen.  

Verwalten von Schlüsseltabellen

Jeder Host, der einen Service anbietet, muss über eine lokale Datei verfügen, die als Schlüsseltabelle bezeichnet wird und die den Hauptbenutzer für den geeigneten Service enthält. Dieser Eintrag wird als Serviceschlüssel bezeichnet. Serviceschlüssel werden von einem Service verwendet, um sich selbst für das KDC zu authentisieren. Sie sind nur Kerberos und dem Service selbst bekannt. Wenn Sie zum Beispiel einen Kerberos-NFS-Server besitzen, muss dieser Server über eine Schlüsseltabelle verfügen, die seinen Service-Hauptbenutzer nfs enthält.

Sie fügen den entsprechenden Service-Hauptbenutzer mit dem Befehl ktadd von kadmin zur Schlüsseltabelle eines Hosts hinzu, um einen Service zu einer Schlüsseltabelle hinzuzufügen. Da Sie einen Service-Hauptbenutzer zu einer Schlüsseltabelle hinzufügen, muss der Hauptbenutzer auch bereits in der Kerberos-Datenbank vorhanden sein, damit kadmin seine Existenz verifizieren kann. Für das Master-KDC befindet sich die Schlüsseltabellen-Datei standardmäßig unter /etc/krb5/kadm5.keytab. Für Anwendungs-Server, die Kerberos-Services bereitstellen, befindet sich die Schlüsseltabellen-Datei standardmäßig unter /etc/krb5/krb5.keytab.

Eine Schlüsseltabelle entspricht einem Benutzerpasswort. Für Anwendungs-Server ist es gleichermaßen wichtig, ihre Schlüsseltabellen zu schützen, wie es auch für Benutzer wichtig ist, ihr Passwort zu schützen. Sie sollten Schlüsseltabellen immer auf einem lokalen Datenträger speichern und den Lesezugriff nur für root zulassen. Außerdem sollten Sie eine Schlüsseltabelle niemals über ein ungesichertes Netzwerk senden.

Es gibt außerdem die Möglichkeit, einen root-Hauptbenutzer zur Schlüsseltabelle eines Hosts hinzuzufügen. Im Grunde müssen Sie den root-Hauptbenutzer des Clients zur Schlüsseltabelle des Clients hinzufügen, damit ein Benutzer des SEAM-Clients Kerberos-NFS-Dateisysteme automatisch mit der Kerberos-Authentisierung einhängen kann. Andernfalls müssen Benutzer den Befehl kinit als Root ausführen, um Berechtigungsnachweise für den root-Hauptbenutzer des Clients bei jedem Einhängen eines Kerberos-NFS-Dateisystems zu empfangen, auch wenn der Automounter dazu verwendet wird. Weitere Informationen finden Sie unter "Einrichten der Root-Authentisierung für das Einhängen von NFS-Dateisystemen".

Hinweis -

Beim Einrichten einer Master-KDC müssen Sie die Hauptbenutzer kadmind und changepw zur Datei kadm5.keytab hinzufügen, damit das KDC die Kerberos-Tickets des Verwalters entschlüsseln kann, um zu ermitteln, ob diesem der Zugriff auf die Datenbank gewährt wird.

Einen weiteren Befehl zur Verwaltung von Schlüsseltabellen stellt ktutil dar. ktutil ist ein interaktives Dienstprogramm für die Befehlszeilen-Schnittstelle, mit dem Sie die Schlüsseltabelle eines lokalen Hosts verwalten können, ohne Kerberos-Verwaltungsberechtigungen zu besitzen, da ktutil nicht wie kadmin mit der Kerberos-Datenbank arbeitet. Nachdem somit ein Hauptbenutzer zur Schlüsseltabelle hinzugefügt wurde, können Sie ktutil verwenden, um die Schlüsselliste in einer Schlüsseltabelle anzuzeigen, oder um die Authentisierung temporär für einen Service zu deaktivieren.

Aufgabentabelle zur Verwaltung von Schlüsseltabellen

Tabelle 5-9 Aufgabentabelle zur Verwaltung von Schlüsseltabellen

Aufgabe 

Beschreibung 

Anleitungen finden Sie unter ... 

Hinzufügen eines Service-Hauptbenutzers zu einer Schlüsseltabelle  

Verwenden Sie den Befehl ktadd von kadmin, um einen Service-Hauptbenutzer zu einer Schlüsseltabelle hinzuzufügen.

"Hinzufügen eines Service-Hauptbenutzers zu einer Schlüsseltabelle"

Entfernen eines Service-Hauptbenutzers aus einer Schlüsseltabelle 

Verwenden Sie den Befehl ktremove von kadmin, um einen Service-Hauptbenutzer aus einer Schlüsseltabelle zu entfernen.

"Entfernen eines Service-Hauptbenutzers aus einer Schlüsseltabelle"

Anzeigen der Schlüsselliste (Hauptbenutzer) in einer Schlüsseltabelle 

Verwenden Sie den Befehl ktutil, um die Schlüsselliste in einer Schlüsseltabelle anzuzeigen.

"Anzeigen der Schlüsselliste (Hauptbenutzer) in einer Schlüsseltabelle"

Temporäres Deaktivieren der Authentisierung für einen Service auf einem Host 

Mit diesem Verfahren können Sie die Authentisierung für einen Service auf einem Host schnell temporär deaktivieren, ohne kadmin-Berechtigungen zu besitzen. Bevor Sie ktutil zum Löschen des Service-Hauptbenutzers aus der Schlüsseltabelle des Servers verwenden, kopieren Sie die ursprüngliche Schlüsseltabelle an einen temporären Ort. Wenn Sie den Service wieder aktivieren möchten, kopieren Sie die ursprüngliche Schlüsseltabelle einfach wieder zurück.

"Temporäres Deaktivieren der Authentisierung für einen Service auf einem Host"

Hinzufügen eines Service-Hauptbenutzers zu einer Schlüsseltabelle

  1. Stellen Sie sicher, dass der Hauptbenutzer bereits in der Kerberos-Datenbank vorhanden ist.

    Weitere Informationen finden Sie unter "Anzeigen der Hauptbenutzerliste".

  2. Melden Sie sich als Superuser auf dem Host an, für den ein Hauptbenutzer zur Schlüsseltabelle hinzugefügt werden soll.

  3. Starten Sie den Befehl kadmin. 


    # /usr/krb5/sbin/kadmin

  4. Fügen Sie mit dem Befehl ktadd einen Hauptbenutzer zu einer Schlüsseltabelle hinzu. 


    kadmin: ktadd [-k keytab] [-q] [principal | -glob principal_exp]

    -k Schlüsseltabelle

    Legt die Schlüsseltabellen-Datei fest. Standardmäßig wird /etc/krb5/krb5.keytab verwendet.

    -q

    Zeigt weniger ausführliche Informationen an.  

    Hauptbenutzer

    Der zur Schlüsseltabelle hinzuzufügende Hauptbenutzer. Folgende Service-Hauptbenutzer können hinzugefügt werden: host, root, nfs und ftp.

    -glob principal_exp

    Alle mit dem Hauptbenutzer-Ausdruck übereinstimmenden Hauptbenutzer werden zur Schlüsseltabelle hinzugefügt. Die Regeln für Hauptbenutzer-Ausdrücke sind dieselben, wie für den Befehl list_principals von kadmin.

  5. Beenden Sie den Befehl kadmin.


    kadmin: quit

Beispiel-- Hinzufügen eines Service-Hauptbenutzers zu einer Schlüsseltabelle

In dem folgenden Beispiel werden die Hauptbenutzer kadmin/admin und kadmin/changepw zur Schlüsseltabelle eines KDCs hinzugefügt. In diesem Beispiel muss die Schlüsseltabelle-Datei in der Datei kdc.conf angegeben sein.


kdc1 # /usr/krb5/bin/kadmin.local
kadmin.local: ktadd -k /etc/krb5/kadm5.keytab kadmin/admin kadmin/changepw
Eintrag für Hauptbenutzer kadmin/admin@ACME.COM mit kvno 3, Verschlüsselungstyp DES-CBC-CRC
  zur Schlüsseltabellendatei WRFILE:/etc/krb5/kadm5.keytab hinzugefügt.
Eintrag für Hauptbenutzer kadmin/changepw@ACME.COM mit kvno 3, Verschlüsselungstyp DES-CBC-CRC
  zur Schlüsseltabellendatei WRFILE:/etc/krb5/kadm5.keytab hinzugefügt.
kadmin.local: quit

Im folgenden Beispiel wird der Host-Hauptbenutzer von hannover zur Schlüsseltabellen-Datei von hannover hinzugefügt, damit die Netzwerkdienste von hannover vom KDC authentisiert werden können.


hannover # /usr/krb5/bin/kadmin
kadmin: ktadd host/hannover@acme.com@ACME.COM
kadmin: Eintrag für Hauptbenutzer host/hannover@acme.com@ACME.COM mit kvno 2,
  Verschlüsselungstyp DES-CBC-CRC wurde zur Schlüsseltabelle  
WRFILE:/etc/krb5/krb5.keytab hinzugefügt.
kadmin: quit

Entfernen eines Service-Hauptbenutzers aus einer Schlüsseltabelle

  1. Melden Sie sich auf dem Host als Superuser an, auf dem ein Hauptbenutzer aus dessen Schlüsseltabelle entfernt werden muss.

  2. Starten Sie den Befehl kadmin. 


    # /usr/krb5/bin/kadmin

  3. Optional. Verwenden Sie den Befehl ktutil, um die aktuelle Hauptbenutzerliste (Schlüssel) in der Schlüsseltabelle anzuzeigen..

    Weitere Anleitungen finden Sie unter "Anzeigen der Schlüsselliste (Hauptbenutzer) in einer Schlüsseltabelle".

  4. Entfernen Sie einen Hauptbenutzer mit dem Befehl ktremove aus einer Schlüsseltabelle.


    kadmin: ktremove [-k Schlüsseltabelle] [-q] Hauptbenutzer [kvno | all | old ]

    -k keytab

    Legt die Schlüsseltabellen-Datei fest. Standardmäßig wird /etc/krb5/krb5.keytab verwendet.

    -q

    Zeigt weniger ausführliche Informationen an.  

    Hauptbenutzer

    Der aus der Schlüsseltabelle zu entfernende Hauptbenutzer.  

    kvno

    Entfernt alle Einträge für den angegebenen Hauptbenutzer, dessen kvno (Key Version Number, Schlüsselversionsnummer) mit kvno übereinstimmt.

    all

    Entfernt alle Einträge für den angegebenen Hauptbenutzer. 

    old

    Entfernt alle Einträge für den angegebenen Hauptbenutzer, ausgenommen der Einträge mit der höchsten kvno. 

  5. Beenden Sie den Befehl kadmin.


    kadmin: quit

Beispiel-- Entfernen eines Service-Hauptbenutzers aus einer Schlüsseltabelle

Im folgenden Beispiel wird der Host-Haupbenutzer von hannover aus der Schlüsseltabellen-Datei von hannover entfernt.


hannover # /usr/krb5/bin/kadmin
kadmin: ktremove host/hannover.acme.com@ACME.COM
kadmin: Eintrag für Hauptbenutzer host/hannover.acme.com@ACME.COM mit kvno 3
  wurde aus der Schlüsseltabelle WRFILE:/etc/krb5/krb5.keytab entfernt.
kadmin: quit

Anzeigen der Schlüsselliste (Hauptbenutzer) in einer Schlüsseltabelle

  1. Melden Sie sich auf dem Host mit der Schlüsseltabelle als Superuser an.

    Hinweis -

    Obwohl Sie Schlüsseltabellen erstellen können, die Eigentum anderer Benutzer sind, erfordert die Standardposition für die Schlüsseltabelle die root-Eigentümerrechte.

  2. Starten Sie den Befehl ktutil.


    # /usr/bin/ktutil

  3. Lesen Sie die Schlüsseltabelle mit dem Befehl read_kt in den Puffer für die Schlüssellisten ein. 


    ktutil: read_kt keytab

  4. Zeigen Sie den Puffer für die Schlüssellisten mit dem Befehl list an. 


    ktutil: list

    Der aktuelle Schlüssellisten-Puffer wird angezeigt.

  5. Beenden Sie den Befehl ktutil.


    ktutil: quit

Beispiel-- Anzeigen der Schlüsselliste (Hauptbenutzer) in einer Schlüsseltabelle

Im folgenden Beispiel wird die Schlüsselliste in der Datei /etc/krb5/krb5.keytab auf dem Host hannover angezeigt.


hannover # /usr/bin/ktutil
    ktutil: read_kt /etc/krb5/krb5.keytab
    ktutil: list
slot KVNO Principal
---- ---- ---------------------------------------
   1    5 host/hannover@ACME.COM
    ktutil: quit

Temporäres Deaktivieren der Authentisierung für einen Service auf einem Host

Es kann vorkommen, dass Sie den Authentisierungsmechanismus für einen Service, wie z. B. rlogin oder ftp, auf einem Netzwerk-Anwendungs-Server temporär deaktivieren müssen. Wenn Sie z. B. Benutzer davon abhalten möchten, sich auf einem System anzumelden, während Sie Verwaltungsaufgaben durchführen. Mit dem Befehl ktutil können Sie dies erreichen, indem Sie den Service-Hauptbenutzer aus der Schlüsseltabelle des Servers entfernen, ohne dass kadmin-Berechtigungen erforderlich sind. Wenn Sie die Authentisierung wieder aktivieren möchten, müssen Sie nur die zuvor gesicherte ursprüngliche Schlüsseltabelle wieder an die Ausgangsposition kopieren.

Hinweis -

Die meisten Services sind so eingerichtet, dass die Authentisierung standardmäßig aktiviert ist. Wenn dies nicht der Fall sein sollte, kann der Service dennoch ausgeführt werden, auch wenn die Authentisierung für diesen Service deaktiviert wurde.

  1. Melden Sie sich auf dem Host mit der Schlüsseltabelle als Superuser an.

    Hinweis -

    Obwohl Sie Schlüsseltabellen erstellen können, die Eigentum anderer Benutzer sind, erfordert die Standardposition für die Schlüsseltabelle die root-Eigentümerrechte.

  2. Speichern Sie die aktuelle Schlüsseltabelle in einer temporären Datei.

  3. Starten Sie den Befehl ktutil.


    # /usr/bin/ktutil

  4. Lesen Sie die Schlüsseltabelle mit dem Befehl read_kt in den Puffer für die Schlüssellisten ein.


    ktutil: read_kt keytab

  5. Zeigen Sie den Puffer für die Schlüssellisten mit dem Befehl list an. 


    ktutil: list

    Der aktuelle Schlüssellisten-Puffer wird angezeigt. Beachten Sie die Slot-Nummer für den zu deaktivierenden Service.

  6. Entfernen Sie den bestimmten Service-Hauptbenutzer mit dem Befehl delete_entry aus dem Puffer für die Schlüssellisten, um den Service eines Hosts temporär zu deaktivieren.


    ktutil: delete_entry slot_number

    slot_number

    Die Slot-Nummer des zu löschenden Hauptbenutzers, der vom Befehl list angezeigt wird.

  7. Schreiben Sie den Puffer für die Schlüsselliste mit dem Befehl write_kt in die Schlüsseltabelle.


    ktutil: write_kt keytab

  8. Beenden Sie den Befehl ktutil.


    ktutil: quit

  9. Wenn Sie den Service wieder aktivieren möchten, kopieren Sie die temporäre (ursprüngliche) Schlüsseltabelle wieder an ihre ursprüngliche Position zurück.

Beispiel-- Temporäres Deaktivieren der Authentisierung für einen Service auf einem Host

Bei dem folgenden Beispiel wird der host-Service auf dem Host hannover deaktiviert. Um den Host-Service wieder auf hannover zu aktivieren, würden Sie die Datei krb5.keytab.temp zur Datei /etc/krb5/krb5.keytab kopieren.


hannover # cp /etc/krb5/krb5.keytab /etc/krb5/krb5.keytab.temp
hannover # /usr/bin/ktutil
    ktutil:read_kt /etc/krb5/krb5.keytab
    ktutil:list
slot KVNO Principal
---- ---- ---------------------------------------
   1    8 root/hannover@ACME.COM
   2    5 host/hannover@ACME.COM
    ktutil:delete_entry 2
    ktutil:list
slot KVNO Principal
---- ---- --------------------------------------
   1    8 root/hannover@ACME.COM
    ktutil:write_kt /etc/krb5/krb5.keytab
    ktutil: quit