Hauptbenutzername 

Der Name des Hauptbenutzers (die primäre /Instanz ist Teil eines voll qualifizierten Hauptbenutzernamens). Ein Hauptbenutzer stellt eine eindeutige Identität dar, der das KDC Tickets zuweisen kann.

Wenn Sie einen Hauptbenutzer ändern, können Sie seinen Hauptbenutzernamen nicht bearbeiten. 

Passwort 

Das Passwort des Hauptbenutzers. Sie können die Schaltfläche "Zufälliges Passwort erzeugen" verwenden, um ein Passwort für den Hauptbenutzer zufällig zu vergeben.  

Richtlinie 

Ein Menü der für den Hauptbenutzer verfügbaren Richtlinien. 

Konto läuft ab 

Datum und Uhrzeit für den Ablauf des Kontos des Hauptbenutzers. Ist das Konto abgelaufen, kann der Hauptbenutzer kein TGT (Ticket-granting-Ticket) mehr empfangen und sich nicht mehr anmelden. 

Letzte Änderung des Hauptbenutzers  

Das Datum, an dem zuletzt Informationen für den Hauptbenutzer geändert wurden. (Schreibgeschützt) 

Zuletzt geändert von 

Der Name des Hauptbenutzers, der zuletzt den Zugang für diesen Hauptbenutzer geändert hat. (Schreibgeschützt) 

Kommentare 

Auf den Hauptbenutzer bezogene Kommentare (z.B. 'Zeitweiliges Konto') 

Letzter Erfolg 

Datum und Uhrzeit der letzten erfolgreichen Anmeldung des Hauptbenutzers. (Schreibgeschützt) 

Letzter Fehler 

Datum und Uhrzeit, an dem der letzte Anmeldefehler des Hauptbenutzers aufgetreten ist. (Schreibgeschützt) 

Fehlerzähler 

Die Häufigkeit der Anmeldefehler für den Hauptbenutzer. (Schreibgeschützt) 

Letzte Änderung des Passworts 

Datum und Zeit, an dem das Passwort des Hauptbenutzers zuletzt geändert wurde. (Schreibgeschützt) 

Zeitpunkt des Ablaufens des Passworts 

Datum und Uhrzeit des Ablaufs des aktuellen Passworts. 

Schlüssel-Version 

Die Schlüssel-Versionsnummer für den Hauptbenutzer; dies wird normalerweise nur geändert, wenn das Passwort nicht mehr geheim ist. 

Maximale Lebensdauer (Sekunden) 

Die maximale Zeit, die für ein Ticket eines Hauptbenutzers gewährt werden kann (ohne Erneuerung). 

Maximale Erneuerung (Sekunden) 

Die maximale Zeit, in der ein vorhandenes Ticket für einen Hauptbenutzer erneuert werden kann. 

Konto deaktivieren 

Wenn diese Option markiert ist, kann sich der Hauptbenutzer nicht anmelden. Auf diese Weise kann ein Hauptbenutzerkonto einfach aus einem beliebigen Grund temporär "eingefroren" werden. 

Änderung des Passworts anfordern 

Wenn diese Option markiert ist, läuft das aktuelle Passwort des Hauptbenutzers ab, wodurch der Benutzer dazu gezwungen ist, den Befehl kpasswd zu verwenden, um ein neues Passwort zu erstellen. Dies ist hilfreich, wenn eine Sicherheitsverletzung vorhanden ist, und Sie sicherstellen müssen, dass alte Passwörter ersetzt werden.

Nachdatierte Tickets zulassen 

Wenn aktiviert, kann der Hauptbenutzer nachdatierte Tickets erhalten.  

Wenn Sie z. B. nachdatierte Tickets für Cron-Aufträge verwenden müssen, die nach Feierabend ausgeführt werden, und Sie wegen der kurzen Lebensdauer der Tickets keine Tickets im voraus abrufen können. 

Weiterreichen von Tickets zulassen 

Wenn aktiviert, kann der Hauptbenutzer weiterreichbare Tickets erhalten. 

Weiterreichbare Tickets sind Tickets, die an den entfernten Host weitergeleitet werden, um eine Sitzung mit einmaliger Anmeldung bereitzustellen. Wenn Sie z. B. weiterreichbare Tickets verwenden und sich selbst über ftp oder rsh authentisieren, sind andere Dienste, wie der NFS-Dienst, verfügbar, ohne dass Sie nach einem anderen Passwort gefragt werden.

Erneuerbare Tickets zulassen 

Wenn aktiviert, kann der Hauptbenutzer erneuerbare Tickets erhalten. 

Ein Hauptbenutzer kann das Ablaufdatum oder die Ablaufzeit eines erneuerbaren Tickets automatisch verlängern (anstatt ein neues Ticket abzurufen, nachdem das erste abgelaufen ist). Momentan ist der NFS-Service der einzige Service, der Tickets erneuern kann. 

Vollmachten-Tickets zulassen 

Wenn aktiviert, kann der Hauptbenutzer Vollmachten-Tickets erhalten. 

Ein Vollmachten-Ticket ist ein Ticket, dass im Auftrag eines Client von einem Dienst verwendet werden kann, um eine Operation für den Client durchzuführen. Mit einem Vollmachten-Ticket kann ein Dienst die Identität eines Clients annehmen und ein Ticket für einen anderen Dienst empfangen, jedoch kann er kein Ticket-granting Ticket erhalten. 

Dienste-Tickets zulassen 

Wenn diese Option markiert ist, können Dienste-Tickets für den Hauptbenutzer ausgestellt werden. 

Dienste-Tickets sollten nicht für die Hauptbenutzer kadmin/hostname und changepw/hostname ausgestellt werden. Dadurch wird sichergestellt, dass diese Hauptbenutzer nur die KDC-Datenbank aktualisieren können.

TGT-basierte Authentisierung zulassen  

Wenn diese Option markiert ist, kann der Dienste-Hauptbenutzer für andere Hauptbenutzer Dienste bereitstellen. Genauer gesagt, ermöglicht sie dem KDC ein Dienste-Ticket für den Dienste-Hauptbenutzer auszustellen. 

Dieses Attribut ist nur für Dienste-Hauptbenutzer gültig. Wenn diese Option nicht markiert ist, können keine Dienste-Tickets für den Dienste-Hauptbenutzer ausgegeben werden. 

Zweifache Authentisierung zulassen  

Wenn diese Option markiert ist, kann der Benutzer-Hauptbenutzer für andere Benutzer-Hauptbenutzer Dienste-Tickets entgegennehmen. 

Dieses Attribut ist nur für Benutzer-Hauptbenutzer gültig. Wenn diese Option nicht markiert ist, kann der Benutzer-Hauptbenutzer auch weiterhin Dienste-Tickets für Dienste-Hauptbenutzer, jedoch nicht für andere Benutzer-Hauptbenutzer entgegebennehmen. 

Erforderliche Vorauthentisierung 

Wenn diese Option markiert ist, sendet das KDC kein angefordertes Ticket-granting Ticket (TGT) an den Hauptbenutzer, bevor es nicht bestätigen konnte (mittels Software), dass es sich wirklich um den Hauptbenutzer handelt, der das TGT anfordert. Diese Pre-Authentisierung wird normalerweise über ein zusätzliches Passwort erreicht, z. B. von einer DES-Karte. 

Wenn diese Option nicht markiert ist, muss das KDC für den Hauptbenutzer keine Pre-Authentisierung durchführen, bevor es ein angefordertes TGT an ihn sendet. 

Erforderliche Hardware-Authentisierung  

Wenn diese Option markiert ist, sendet das KDC kein angefordertes Ticket-granting Ticket (TGT) an den Hauptbenutzer, bevor es nicht bestätigen konnte (mittels Hardware), dass es sich wirklich um den Hauptbenutzer handelt, der das TGT anfordert. Die Hardware-Pre-Authentisierung könnte z. B. einem Java-Ringreader ähnlich sein.  

Wenn diese Option nicht markiert ist, muss das KDC für den Hauptbenutzer keine Pre-Authentisierung durchführen, bevor es ein angefordertes TGT an ihn sendet. 

Name der Richtlinie 

Der Name der Richtlinie. Eine Richtlinie stellt eine Reihe von Regeln dar, die das Passwort und die Tickets eines Hauptbenutzers betreffen. 

Beim Ändern einer Richtlinie können Sie den Namen der Richtlinie nicht bearbeiten. 

Mindestlänge für Passwort 

Die minimale Länge des Passworts einer Richtlinie. 

Mindestklassen für Passwort 

Die Mindestanzahl der unterschiedlichen Zeichenarten, die im Passwort des Hauptbenutzers vorhanden sein müssen. 

Bei einem Wert für die minimale Anzahl der Klasse von z. B. 2, bedeutet dies, dass ein Passwort mindestens zwei unterschiedliche Zeichenarten besitzen muss, wie beispielsweise Buchstaben und Zahlen (hi2mom). Bei einem Wert von 3 bedeutet dies, dass ein Passwort mindestens drei unterschiedliche Zeichenarten besitzen muss, wie beispielsweise Buchstaben, Zahlen und Satzzeichen (hi2mom!). Und so weiter.  

Mit dem Wert 1 wird grundsätzlich keine Einschränkung für die Anzahl der im Passwort erforderlichen Zeichenarten festgelegt. 

Historie für gespeicherte Passwörter 

Die Anzahl früher vom Hauptbenutzer verwendeter Passwörter, die nicht wiederverwendet werden können. 

Minimale Lebensdauer für Passwörter (Sekunden)  

Die Mindestzeit, die ein Passwort verwendet werden muss, bevor es geändert werden kann. 

Maximale Lebensdauer für Passwörter (Sekunden)  

Die Höchstzeit, die ein Passwort verwendet werden kann, bevor es geändert werden muss. 

Hauptbenutzer, die diese Richtlinie verwenden 

Die Anzahl der Hauptbenutzer, für die diese Richtlinie z.Z. gültig ist. (Schreibgeschützt)