この節では、SEAM ツールで指定または表示できる主体とポリシーの属性について説明します。属性は、表示されるパネルごとに分類されています。
表 10-2 「Principal Basics」パネルの属性
属性 |
説明 |
---|---|
Principal Name |
主体名 (完全指定形式の主体名の primary/instance 部分)。主体は、KDC がチケットを割り当てることができる一意の ID 主体を変更しようとしても、主体名は編集できない |
Password |
主体のパスワード。「Generate Random Password」ボタンを使用して、主体のランダムパスワードを作成できる |
Policy |
主体に使用できるポリシーのメニュー |
Account Expires |
主体のアカウントが期限切れになる日時。アカウントが期限切れになると、主体はチケット認可チケット (TGT) を取得できず、ログインできなくなる |
Last Principal Change |
主体の情報が最後に変更された日付 (読み取り専用) |
Last Changed By |
この主体のアカウントを最後に変更した主体名 (読み取り専用) |
Comments |
主体に関連するコメント (「一時アカウント」など) |
表 10-3 「Principal Details」パネルの属性
属性 |
説明 |
---|---|
Last Success |
主体が最後に正常にログインした日時 (読み取り専用) |
Last Failure |
主体が最後にログインに失敗した日時 (読み取り専用) |
Failure Count |
主体のログインが失敗した回数 (読み取り専用) |
Last Password Change |
主体のパスワードが最後に変更された日時 (読み取り専用) |
Password Expires |
主体の現在のパスワードが期限切れになる日時 |
Key Version |
主体の鍵のバージョン番号。この属性は通常、パスワードが危険にさらされた場合にだけ変更される |
Maximum Lifetime (seconds) |
チケットを主体が使用できる最大期間 (更新しない場合) |
Maximum Renewal (seconds) |
既存のチケットを主体が更新できる最大期間 |
表 10-4 「Principal Flags」パネルの属性
属性 (ラジオボタン) |
説明 |
---|---|
Disable Account |
チェックすると、その主体はログインできなくなる。この属性は、主体のアカウントを一時的に凍結するときに使用する |
Require Password Change |
チェックすると、主体の現在のパスワードが期限切れとなり、ユーザーは kpasswd コマンドを使用して新しいパスワードを作成しなければならない。この属性は、セキュリティ違反が発生し、古いパスワードを置換する必要があるときに使用する |
Allow Postdated Tickets |
チェックすると、主体は遅延チケットを取得できる たとえば、cron ジョブを数時間後に実行する場合は、遅延チケットを使用する必要がある。ただし、チケットの有効期限が短い場合は、事前にチケットを取得できない |
Allow Forwardable Tickets |
チェックすると、主体は転送可能チケットを取得できる 転送可能チケットは、リモートホストに転送されて、シングルサインオンセッションを実現する。たとえば、転送可能チケットを使用して、ユーザー自身の ftp 認証または rsh 認証が完了すると、NFS サービスなどのほかのサービスを利用するときに、新たにパスワードを要求されない |
Allow Renewable Tickets |
チェックすると、主体が更新可能チケットを取得できる 主体は、チケットが更新可能な場合、有効期限日時を自動的に延長することができる。つまり、最初のチケットの期限が切れても、新しいチケットを取得する必要がない。現在の NFS サービスは、チケットを新しくするチケットサービスである |
Allow Proxiable Tickets |
チェックすると、主体は代理可能チケットを取得できる 代理可能チケットを使用すると、クライアントの代わりにサービスがクライアントの操作を実行できる。サービスは、代理可能チケットを使用すると、クライアントの ID を使用して別のサービスのチケットを取得できる。ただし、チケット認可チケットを取得することはできない |
Allow Service Tickets |
チェックすると、サービスチケットを特定の主体に発行できる サービスチケットの発行は、kadmin/hostname および changepw/hostname 主体に許可してはならない。これらの主体は、KDC データベース以外は更新してはならない |
Allow TGT-Based Authentication |
チェックすると、このサービス主体は別の主体にサービスを提供できる。つまり、KDC は、サービス主体にサービスチケットを発行できる この属性は、サービス主体にだけ使用できる。チェックを解除すると、サービスチケットをサービス主体に対して発行できない |
Allow Duplicate Authentication |
チェックすると、このユーザー主体はほかのユーザー主体のサービスチケットを取得できる この属性は、ユーザー主体にだけ使用できる。チェックを解除すると、ユーザー主体はサービス主体のサービスチケットを取得できるが、ほかのユーザー主体のサービスチケットは取得できない |
Required Preauthentication |
チェックすると、KDC が要求されたチケット認可チケット (TGT) を主体に送信する前に、その主体が TGT を要求している主体であることを KDC のソフトウェアが認証する。この事前認証は通常、DES カードなどの特別のパスワードを使用して行われる チェックを解除すると、KDC は要求された TGT を主体に送信する前に、主体の事前認証を必要としない |
Required Hardware Authentication |
チェックすると、KDC が要求されたチケット認可チケット (TGT) を主体に送信する前に、その主体が TGT を要求している主体であることを KDC のハードウェアが認証する。ハードウェア事前認証は、たとえば Java リングのリーダー上で行われる チェックを解除すると、KDC は要求された TGT を主体に送信する前に、主体の事前認証を必要としない |
表 10-5 「Policy Basics」区画の属性
属性 |
説明 |
---|---|
Policy Name |
ポリシー名。ポリシーとは、主体のパスワードとチケットを管理する一連のルールのことである ポリシーを変更しようとしても、ポリシー名は編集できない |
Minimum Password Length |
主体の最小パスワード長 |
Minimum Password Classes |
主体のパスワードに必要な異なる文字タイプの数 たとえば、最小クラス値が 2 の場合は、パスワードに 2 種類以上の文字タイプを使用する必要がある。たとえば、英字と数字を使用して "hi2mom" と入力する必要がある。値が 3 の場合は、パスワードに 3 種類以上の文字タイプを使用する必要がある。たとえば、英字、数字、および句読点を使用して "hi2mom!" と入力する必要がある 値が 1 の場合は、パスワード文字タイプの数に制限が設定されない |
Saved Password History |
主体に使用された過去のパスワードの数と、過去のパスワードの一覧。これらのパスワードは再使用できない |
Minimum Password Lifetime (seconds) |
パスワードの最小使用期間。この期間が経過しないとパスワードを変更できない |
Maximum Password Lifetime (seconds) |
パスワードの最大使用期間。この期間が経過したらパスワードを変更する必要がある |
Principals Using This Policy |
このポリシーが現在適用されている主体の数 (読み取り専用) |