Verwalten von Hauptbenutzern

In diesem Abschnitt werden schrittweise Anleitungen für die Verwaltung von Hauptbenutzern mit dem SEAM Tool bereitgestellt. Außerdem werden zu jedem Verfahren, wenn möglich, Beispiele für Befehlszeilen-Äquivalente unter Verwendung des Befehls kadmin aufgeführt.

Aufgabentabelle zur Verwaltung von Hauptbenutzern

Automatisieren der Erstellung neuer Hauptbenutzer

Obwohl das SEAM Tool einfach zu verwenden ist, ermöglicht es nicht die Automatisierung der Erstellung neuer Hauptbenutzer. Die Automatisierung ist besonders hilfreich, wenn Sie in kurzer Zeit zehn oder sogar 100 neue Hauptbenutzer hinzufügen müssen. Durch die Ausführung des Befehls kadmin.local in einem Bourne Shell-Skript können Sie genau dies erreichen.

Die folgende Zeile eines Shell-Skripts stellt ein Beispiel für diesen Vorgang dar:

sed -e 's/^\(.*\)$/ank +needchange -pw \1 \1/' < princnames |
        time /usr/krb5/sbin/kadmin.local> /dev/null

Dieses Beispiel wurde auf 2 Zeilen aufgeteilt, um die Lesbarkeit zu verbessern. Dieses Skript liest eine Datei namens hauptbenutzernamen ein, die Hauptbenutzernamen und ihre Passwörter enthält, und fügt diese zur Kerberos-Datenbank hinzu. Sie müßten die Datei hauptbenutzernamen erstellen, die in jeder Zeile einen Hauptbenutzernamen und das dazugehörige Passwort enthalten muss, die durch ein oder mehrere Leerzeichen getrennt werden. Die Option +needchange konfiguriert den Hauptbenutzer, damit der Benutzer zur Eingabe eines neuen Passworts aufgefordert wird, wenn er sich zum ersten Mal mit dem Hauptbenutzer anmeldet. Dies hilft sicherzustellen, dass die Passwörter in der Datei hauptbenutzernamen kein Sicherheitsrisiko darstellen.

Dies ist nur ein Bespiel. Sie können ausführlichere Skripts erstellen, indem Sie die Informationen des Namen-Services verwenden, um die Liste mit Benutzernamen für die Hauptbenutzernamen abzurufen. Was Sie tun und wie Sie vorgehen, hängt von den Anforderungen Ihrer Site und Ihren Erfahrungen bei der Skripterstellung ab.

Anzeigen der Hauptbenutzerliste

Ein Beispiel für das entsprechende Befehlszeilen-Äquivalent folgt auf diese Prozedur.

1. Starten Sie bei Bedarf das SEAM Tool.

   Weitere Informationen finden Sie unter "Starten des SEAM Tool".

2. Klicken Sie auf die Registerkarte "Hauptbenutzer".

   Die Liste der Hauptbenutzer wird angezeigt.

   

3. Geben Sie eine Filterzeichenfolge in das Feld "Filtermuster" ein, und drücken Sie die Eingabetaste, um einen bestimmten Hauptbenutzer oder eine Unterliste mit Hauptbenutzern anzuzeigen. Bei erfolgreicher Anwendung des Filters wird die Liste mit den Hauptbenutzern angezeigt, die mit dem Filter übereinstimmen.

   Die Filterzeichenfolge muss aus einem oder mehreren Zeichen bestehen. Da der Filtermechanismus zwischen Groß- und Kleinschreibung unterscheidet, müssen Sie die entsprechenden Groß- oder Kleinbuchstaben für den Filter verwenden. Wenn Sie z. B. die Filterzeichenfolge ge eingeben, zeigt der Filtermechanismus nur Hauptbenutzer an, die die Zeichenfolge ge enthalten (beispielweise georg oder lage).

   Wenn Sie die vollständige Liste mit Hauptbenutzern anzeigen möchten, klicken Sie auf "Filter löschen".

Beispiel -- Anzeigen der Hauptbenutzerliste (Befehlszeile)

Das folgende Beispiel verwendet den Befehllist_principals von kadmin, um alle Hauptbenutzer aufzuführen, die mit test* übereinstimmen. Mit dem Befehl list_principals können auch Platzhalter verwendet werden.

kadmin: list_principals test*
test1@ACME.COM
test2@ACME.COM
kadmin: quit

Anzeigen der Hauptbenutzerattribute

Ein Beispiel für das entsprechende Befehlszeilen-Äquivalent folgt auf diese Prozedur.

1. Starten Sie bei Bedarf das SEAM Tool.

   Weitere Informationen finden Sie unter "Starten des SEAM Tool".

2. Klicken Sie auf die Registerkarte "Hauptbenutzer".

3. Wählen Sie den anzuzeigenden Hauptbenutzer in der Liste, und klicken Sie auf "Ändern".

   Der Bildschirm "Grundeinstellungen für Hauptbenutzer" wird angezeigt, der einige Attribute des Hauptbenutzers enthält.

4. Klicken Sie weiter auf "Nächstes", um alle Attribute des Hauptbenutzers anzuzeigen.

   Es sind drei Fenster mit Attributinformationen vorhanden. Wählen Sie aus dem Menü "Hilfe" den Befehl "Kontextbezogene Hilfe", um Informationen über die verschiedenen Attribute in jedem Fenster abzurufen. Beschreibungen zu allen Hauptbenutzerattributen finden Sie unter "SEAM Tool Bildschirmbeschreibungen".

5. Wenn Sie mit der Anzeige fertig sind, klicken Sie auf "Abbrechen".

Beispiel-- Anzeigen der Hauptbenutzerattribute

Das folgende Beispiel zeigt das erste Fenster, wenn der Hauptbenutzer jdb/admin angezeigt wird.

Beispiel-- Anzeigen der Hauptbenutzerattribute (Befehlszeile)

Das folgende Beispiel verwendet den Befehl get_principal von kadmin, um die Attribute des Hauptbenutzers jdb/admin anzuzeigen.

kadmin: getprinc jdb/admin
Hauptbenutzer: jdb/admin@ACME.COM
Ablaufdatum: Fre Aug 25 17:19:05 MEZ 2000
Letzte Passwortänderung: [nie]
Ablaufdatum für Passwort: Mit Apr 14 11:53:10 MEZ 1999
Maximale Lebensdauer des Tickets: 1 Tag 16:00:00
Maximale erneuerbare Lebensdauer: 1 Tag 16:00:00
Letzte Änderung: Don Jan 14 11:54:09 PST 1999 (admin/admin@ACME.COM)
Letzte erfolgreiche Authentisierung: [nie]
Letzte fehlgeschlagene Authentisierung: [nie]
Fehlgeschlagene Passwortversuche: 0
Schlüsselanzahl: 1
Schlüssel: vno 1, DES cbc-Modus mit CRC-32, keine salt
Attribute: REQUIRES_HW_AUTH
Richtlinie: [keine]
kadmin: quit

Erstellen eines neuen Hauptbenutzers

Ein Beispiel für das entsprechende Befehlszeilen-Äquivalent folgt auf diese Prozedur.

1. Starten Sie bei Bedarf das SEAM Tool.

   Weitere Informationen finden Sie unter "Starten des SEAM Tool".

   ---

   Hinweis -

   Wenn Sie einen neuen Hauptbenutzer erstellen, der eine neue Richtlinie benötigt, dann sollten Sie die Richtlinie vor dem neuen Hauptbenutzer erstellen. Weitere Informationen finden Sie unter "Erstellen einer neuen Richtlinie".

   ---

2. Klicken Sie auf die Registerkarte "Hauptbenutzer".

3. Klicken Sie auf "Neu".

   Der Bildschirm "Grundeinstellungen für Hauptbenutzer" wird angezeigt, der einige Attribute des Hauptbenutzers enthält.

4. Legen Sie ein Hauptbenutzernamen und ein Passwort fest.

   Sowohl der Hauptbenutzername als auch das Passwort sind erforderlich.

5. Legen Sie Werte für die Attribute des Hauptbenutzers fest, und klicken Sie dann auf "Nächstes", um weitere Attribute festzulegen.

   Es sind drei Fenster mit Attributinformationen vorhanden. Wählen Sie aus dem Menü "Hilfe" den Befehl "Kontextbezogene Hilfe", um Informationen über die verschiedenen Attribute in jedem Fenster abzurufen. Beschreibungen zu allen Hauptbenutzerattributen finden Sie unter "SEAM Tool Bildschirmbeschreibungen".

6. Klicken Sie auf "Speichern", um den Hauptbenutzer zu speichern, oder klicken Sie auf dem letzten Bildschirm auf "Fertig".

7. Richten Sie bei Bedarf Kerberos-Verwaltungsberechtigungen für den neuen Hauptbenutzer in der Datei /etc/krb5/kadm5.acl ein.

   Weitere Informationen finden Sie unter "Ändern der Kerberos-Verwaltungsberechtigungen".

Beispiel -- Erstellen eines neuen Hauptbenutzers

Das folgende Beispiel zeigt den Bildschirm für die Grundeinstellungen des Hauptbenutzers bei der Erstellung eines neuen Hauptbenutzers namens pak an. Bis jetzt wurde testuser (Testbenutzer) als Richtlinie festgelegt.

Beispiel -- Erstellen eines neuen Hauptbenutzers (Befehlszeile)

Das folgende Beispiel verwendet den Befehl add_principal von kadmin, um einen neuen Hauptbenutzer namens pak zu erstellen. Für die Richtlinie des Hauptbenutzers wurde testuser (Testbenutzer) festgelegt.

kadmin: add_principal -policy testuser pak
Geben Sie das Passwort für den Hauptbenutzer "pak@ACME.COM" ein: <Eingabe des Passworts>
Geben Sie das Passwort für Hauptbenutzer "pak@ACME.COM" erneut ein: <Passwort erneut eingeben>
Hauptbenutzer "pak@ACME.COM" wurde erstellt.
kadmin: quit

Duplizieren eines Hauptbenutzers

Dieses Verfahren erläutert, wie alle oder einige Attribute eines vorhandenen Hauptbenutzers verwendet werden können, um einen neuen Hauptbenutzer zu erstellen. Für dieses Verfahren gibt es kein Befehlszeilen-Äquivalent.

1. Starten Sie bei Bedarf das SEAM Tool.

   Weitere Informationen finden Sie unter "Starten des SEAM Tool".

2. Klicken Sie auf die Registerkarte "Hauptbenutzer".

3. Wählen Sie den zu duplizierenden Hauptbenutzer in der Liste, und klicken Sie auf "Duplizieren".

   Der Bildschirm "Grundeinstellungen für Hauptbenutzer" wird angezeigt. Alle Attribute des ausgewählten Hauptbenutzers, mit Ausnahme der Felder für Hauptbenutzername und Passwort, die leer sind, werden kopiert.

4. Legen Sie ein Hauptbenutzernamen und ein Passwort fest.

   Sowohl der Hauptbenutzername als auch das Passwort sind erforderlich. Wenn Sie eine exakte Kopie des ausgewählten Hauptbenutzers erstellen möchten, klicken Sie auf "Speichern" und gehen bis zum letzten Schritt vor.

5. Legen Sie unterschiedliche Werte für die Attribute des Hauptbenutzers fest, und klicken Sie dann auf "Nächstes", um weitere Attribute festzulegen.

   Es sind drei Fenster mit Attributinformationen vorhanden. Wählen Sie aus dem Menü "Hilfe" den Befehl "Kontextbezogene Hilfe", um Informationen über die verschiedenen Attribute in jedem Fenster abzurufen. Beschreibungen zu allen Hauptbenutzerattributen finden Sie unter "SEAM Tool Bildschirmbeschreibungen".

6. Klicken Sie auf "Speichern", um den Hauptbenutzer zu speichern, oder klicken Sie auf dem letzten Bildschirm auf "Fertig".

7. Richten Sie bei Bedarf für den Hauptbenutzer Kerberos-Verwaltungsberechtigungen in der Datei /etc/krb5/kadm5.acl ein.

   Weitere Informationen finden Sie unter "Ändern der Kerberos-Verwaltungsberechtigungen".

Ändern eines Hauptbenutzers

Ein Beispiel für das entsprechende Befehlszeilen-Äquivalent folgt auf diese Prozedur.

1. Starten Sie bei Bedarf das SEAM Tool.

   Weitere Informationen finden Sie unter "Starten des SEAM Tool".

2. Klicken Sie auf die Registerkarte "Hauptbenutzer".

3. Wählen Sie den zu ändernden Hauptbenutzer in der Liste, und klicken Sie auf "Ändern".

   Der Bildschirm "Grundeinstellungen für Hauptbenutzer" wird angezeigt, der einige Attribute des Hauptbenutzers enthält.

4. Ändern Sie die Attribute des Hauptbenutzers, und klicken Sie dann auf "Nächstes", um weitere Attribute zu ändern.

   Es sind drei Fenster mit Attributinformationen vorhanden. Wählen Sie aus dem Menü "Hilfe" den Befehl "Kontextbezogene Hilfe", um Informationen über die verschiedenen Attribute in jedem Fenster abzurufen. Beschreibungen zu allen Hauptbenutzerattributen finden Sie unter "SEAM Tool Bildschirmbeschreibungen".

   ---

   Hinweis -

   Der Name eines Hauptbenutzers kann nicht geändert werden. Sie müssen den Hauptbenutzer kopieren, einen neuen Namen für diesen festlegen und dann den alten Hauptbenutzer löschen, um einen Hauptbenutzer umzubenennen.

   ---

5. Klicken Sie auf "Speichern", um den Hauptbenutzer zu speichern, oder klicken Sie auf dem letzten Bildschirm auf "Fertig".

6. Ändern Sie die Kerberos-Verwaltungsberechtigungen für den Hauptbenutzer in der Datei /etc/krb5/kadm5.acl.

   Weitere Informationen finden Sie unter "Ändern der Kerberos-Verwaltungsberechtigungen".

Beispiel -- Ändern eines Hauptbenutzerpassworts (Befehlszeile)

Im folgenden Beispiel wird der Befehl change_password von kadmin verwendet, um das Passwort für den Hauptbenutzer jdb zu ändern. Mit change_password können Sie kein Passwort angeben, das sich im Passwortverlauf des Hauptbenutzers befindet.

kadmin: change_password jdb
Geben Sie das Passwort für Hauptbenutzer "jdb" ein: <Neues Passwort eingeben>
Geben Sie das Passwort für Hauptbenutzer "jdb" erneut ein: <Passwort erneut eingeben>
Das Passwort für "jdb@ACME.COM" wurde geändert.
kadmin: quit

Sie müssen den Befehl modify_principal von kadmin verwenden, um weitere Attribute eines Hauptbenutzers zu ändern.

Löschen eines Hauptbenutzers

Ein Beispiel für das entsprechende Befehlszeilen-Äquivalent folgt auf diese Prozedur.

1. Starten Sie bei Bedarf das SEAM Tool.

   Weitere Informationen finden Sie unter "Starten des SEAM Tool".

2. Klicken Sie auf die Registerkarte "Hauptbenutzer".

3. Wählen Sie den zu löschenden Hauptbenutzer in der Liste, und klicken Sie auf "Löschen".

   Nachdem Sie den Löschvorgang bestätigt haben, wird der Hauptbenutzer gelöscht.

4. Entfernen Sie den Hauptbenutzer aus der Datei /etc/krb5/kadm5.acl mit den Kerberos ACLs.

   Weitere Informationen finden Sie unter "Ändern der Kerberos-Verwaltungsberechtigungen".

Beispiel -- Löschen eines Hauptbenutzers (Befehlszeile)

Im folgenden Beispiel wird der Befehl delete_principal von kadmin verwendet, um den Hauptbenutzer jdb zu löschen.

kadmin: delete_principal pak
Sind Sie sicher, dass Sie den Hauptbenutzer "pak@ACME.COM" löschen möchten? (Ja/Nein): Ja
Hauptbenutzer "pak@ACME.COM" wurde gelöscht.
Stellen Sie sicher, dass Sie diesen Hauptbenutzer vor der erneuten  Verwendung aus allen 
ACLs (Zugriffsteuerungslisten) entfernt haben.
kadmin: quit

Einrichten von Standardwerten für die Erstellung neuer Hauptbenutzer

Für dieses Verfahren gibt es kein Befehlszeilen-Äquivalent.

1. Starten Sie bei Bedarf das SEAM Tool.

   Weitere Informationen finden Sie unter "Starten des SEAM Tool".

2. Wählen Sie im Menü "Bearbeiten" den Befehl "Eigenschaften" aus.

   Das Fenster "Eigenschaften" wird angezeigt.

   

3. Wählen Sie die Standardwerte, die Sie für die Erstellung neuer Hauptbenutzer verwenden möchten.

   Wählen Sie aus dem Menü "Hilfe" den Befehl "Kontextbezogene Hilfe", um Informationen über die verschiedenen Attribute in jedem Fenster abzurufen.

4. Klicken Sie auf "Speichern".

Ändern der Kerberos-Verwaltungsberechtigungen

Obwohl Ihre Site sicherlich über viele Benutzer-Hauptbenutzer verfügt, möchten Sie normalerweise nur einigen von ihnen die Möglichkeit zur Verwaltung der Kerberos-Datenbank bieten. Die Berechtigungen für die Verwaltung der Kerberos-Datenbank werden in der Datei für die Kerberos-Zugriffssteuerungsliste (ACL, Access Control List) kadm5.acl(4) bestimmt. Mit der Datei kadm5.acl können Sie Berechtigungen für einzelne Hauptbenutzer erteilen oder zurücknehmen. Sie können auch den Platzhalter '*' in Hauptbenutzernamen verwenden, um Berechtigungen für Hauptbenutzergruppen festzulegen.

1. Melden Sie sich als Superuser beim Master-KDC an.

2. Bearbeiten Sie die Datei /etc/krb5/kadm5.acl.

   Einträge in der Datei kadm5.acl müssen das folgende Format besitzen:

   Hauptbenutzer Berechtigungen [Hauptbenutzer_Ziel]

   Hauptbenutzer	Der Hauptbenutzer, dem die Berechtigungen erteilt werden. Jeder Teil des Hauptbenutzernamens kann den Platzhalter '*' einbeziehen, der bei der Erteilung derselben Berechtigungen zu einer Hauptbenutzergruppe hilfreich ist. Wenn Sie z. B. alle Hauptbenutzer mit der Instanz admin festlegen möchten, verwenden Sie */admin@Bereich. Beachten Sie, dass eine häufige Verwendung der Instanz admin die Erteilung separater Berechtigungen (wie der Verwaltungszugriff auf die Kerberos-Datenbank) für einen separatem Kerberos-Hauptbenutzer darstellt. Der Benutzer jdb könnte z. B. einen Hauptbenutzer namens jdb/admin für diese Verwaltungsaufgabe besitzen. Auf diese Weise erhält jdb Tickets für jdb/admin nur dann, wenn er diese Berechtigungen tatsächlich verwenden muss.
   Berechtigungen	Legen fest, welche Operationen vom Hauptbenutzer durchgeführt werden können. Sie bestehen aus einer Zeichenfolge aus einem oder mehreren Zeichen der folgenden Liste oder ihren Entsprechungen in Großbuchstaben. Wenn es sich bei dem Zeichen um einen Großbuchstaben handelt (oder es nicht angegeben wurde), dann wurde die Operation abgelehnt. Ein Kleinbuchstabe als Zeichen weist auf eine zugelassene Operation hin.
   	a	Erlaubt das Hinzufügen von Hauptbenutzern und Richtlinien [nicht].
   	d	Erlaubt das Löschen von Hauptbenutzern und Richtlinien [nicht].
   	m	Erlaubt das Ändern von Hauptbenutzern und Richtlinien [nicht].
   	c	Erlaubt das Ändern von Passwörtern für Hauptbenutzer [nicht].
   	i	Erlaubt Anfragen bei der Datenbank [nicht].
   	l	Erlaubt das Aufführen von Hauptbenutzern und Richtlinien [nicht].
   	x oder *	Erlaubt alle Berechtigungen (admcil)
   Hauptbenutzer_Ziel	Wenn in diesem Feld ein Hauptbenutzer festgelegt wurde, werden die Berechtigungen nur dann dem Hauptbenutzer zugewiesen, wenn er auf dem Hauptbenutzer_Ziel aktiv ist. Jeder Teil des Hauptbenutzernamens kann den Platzhalter '*' enthalten, der bei der Gruppierung von Hauptbenutzern hilfreich ist.

Beispiel-- Ändern der Kerberos-Verwaltungsberechtigungen

Mit dem folgenden Eintrag in der Datei kadm5.acl werden jedem Hauptbenutzer im Bereich ACME.COM mit der Instanz admin alle Berechtigungen für die Datenbank erteilt.

*/admin@ACME.COM *

Mit dem folgenden Eintrag in der Datei kadm5.acl wird dem Hauptbenutzer jdb@ACME.COM die Berechtigung zum Hinzufügen und Aufführen erteilt sowie die Berechtigung, Anfragen zu jedem Hauptbenutzer zu stellen, der die Instanz root besitzt.

jdb@ACME.COM ali */root@ACME.COM