Solaris のシステム管理 (セキュリティサービス)

SEAM ツール参照

この節では、SEAM ツールの参照情報について説明します。

SEAM ツールパネルの説明

この節では、SEAM ツールで指定または表示できる主体とポリシーの属性について説明します。属性は、表示されるパネルごとに分類されています。

表 11–2 「Principal Basics」パネルの属性

属性 

説明 

Principal Name 

主体名 (完全指定形式の主体名の primary/instance 部分)主体は、KDC がチケットを割り当てることができる一意の ID

主体を変更しようとしても、主体名は編集できない 

Password 

主体のパスワード。「Generate Random Password」ボタンを使用して、主体のランダムパスワードを作成できる 

Policy 

主体に使用できるポリシーのメニュー 

Account Expires 

主体のアカウントが期限切れになる日時。アカウントが期限切れになると、主体はチケット認可チケット (TGT) を取得できず、ログインできなくなる 

Last Principal Change  

主体の情報が最後に変更された日付 (読み取り専用) 

Last Changed By 

この主体のアカウントを最後に変更した主体名 (読み取り専用) 

Comments 

主体に関連するコメント (「一時アカウント」など) 

表 11–3 「Principal Details」パネルの属性

属性 

説明 

Last Success 

主体が最後に正常にログインした日時 (読み取り専用) 

Last Failure 

主体が最後にログインに失敗した日時 (読み取り専用) 

Failure Count 

主体のログインが失敗した回数 (読み取り専用) 

Last Password Change 

主体のパスワードが最後に変更された日時 (読み取り専用) 

Password Expires 

主体の現在のパスワードが期限切れになる日時 

Key Version 

主体の鍵のバージョン番号。この属性は通常、パスワードが危険にさらされた場合にだけ変更される 

Maximum Lifetime (seconds) 

チケットを主体が使用できる最大期間 (更新しない場合) 

Maximum Renewal (seconds) 

既存のチケットを主体が更新できる最大期間 

表 11–4 「Principal Flags」パネルの属性

属性 (ラジオボタン) 

説明 

Disable Account 

チェックすると、その主体はログインできなくなる。この属性は、主体のアカウントを一時的に凍結するときに使用する 

Require Password Change 

チェックすると、主体の現在のパスワードが期限切れとなり、ユーザーは kpasswd コマンドを使用して新しいパスワードを作成しなければならない。この属性は、セキュリティ違反が発生し、古いパスワードを置換する必要があるときに使用する

Allow Postdated Tickets 

チェックすると、主体は遅延チケットを取得できる 

たとえば、cron ジョブを数時間後に実行する場合は、遅延チケットを使用する必要がある。ただし、チケットの有効期限が短い場合は、事前にチケットを取得できない

Allow Forwardable Tickets 

チェックすると、主体は転送可能チケットを取得できる 

転送可能チケットは、リモートホストに転送されて、シングルサインオンセッションを実現する。たとえば、転送可能チケットを使用して、ユーザー自身の ftp 認証または rsh 認証が完了すると、NFS サービスなどのほかのサービスを利用するときに、新たにパスワードを要求されない

Allow Renewable Tickets 

チェックすると、主体が更新可能チケットを取得できる 

主体は、チケットが更新可能な場合、有効期限日時を自動的に延長することができる。つまり、最初のチケットの期限が切れても、新しいチケットを取得する必要がない。現在の NFS サービスは、チケットを新しくするチケットサービスである 

Allow Proxiable Tickets 

チェックすると、主体は代理可能チケットを取得できる 

代理可能チケットを使用すると、クライアントの代わりにサービスがクライアントの操作を実行できる。サービスは、代理可能チケットを使用すると、クライアントの ID を使用して別のサービスのチケットを取得できる。ただし、チケット認可チケットを取得することはできない 

Allow Service Tickets 

チェックすると、サービスチケットを特定の主体に発行できる 

サービスチケットの発行は、kadmin/hostname および changepw/hostname 主体に許可してはならない。これらの主体は、KDC データベース以外は更新してはならない

Allow TGT-Based Authentication  

チェックすると、このサービス主体は別の主体にサービスを提供できる。つまり、KDC は、サービス主体にサービスチケットを発行できる 

この属性は、サービス主体にだけ使用できる。チェックを解除すると、サービスチケットをサービス主体に対して発行できない 

Allow Duplicate Authentication  

チェックすると、このユーザー主体はほかのユーザー主体のサービスチケットを取得できる 

この属性は、ユーザー主体にだけ使用できる。チェックを解除すると、ユーザー主体はサービス主体のサービスチケットを取得できるが、ほかのユーザー主体のサービスチケットは取得できない 

Required Preauthentication 

チェックすると、KDC が要求されたチケット認可チケット (TGT) を主体に送信する前に、その主体が TGT を要求している主体であることを KDC のソフトウェアが認証する。この事前認証は通常、DES カードなどの特別のパスワードを使用して行われる 

チェックを解除すると、KDC は要求された TGT を主体に送信する前に、主体の事前認証を必要としない 

Required Hardware Authentication  

チェックすると、KDC が要求されたチケット認可チケット (TGT) を主体に送信する前に、その主体が TGT を要求している主体であることを KDC のハードウェアが認証する。ハードウェア事前認証は、たとえば Java リングのリーダー上で行われる 

チェックを解除すると、KDC は要求された TGT を主体に送信する前に、主体の事前認証を必要としない 

表 11–5 「Policy Basics」区画の属性

属性 

説明 

Policy Name 

ポリシー名。ポリシーとは、主体のパスワードとチケットを管理する一連のルールのことである 

ポリシーを変更しようとしても、ポリシー名は編集できない 

Minimum Password Length 

主体の最小パスワード長 

Minimum Password Classes 

主体のパスワードに必要な異なる文字タイプの数 

たとえば、最小クラス値が 2 の場合は、パスワードに 2 種類以上の文字タイプを使用する必要がある。たとえば、英字と数字を使用して "hi2mom" と入力する必要がある。値が 3 の場合は、パスワードに 3 種類以上の文字タイプを使用する必要がある。たとえば、英字、数字、および句読点を使用して "hi2mom!" と入力する必要がある  

値が 1 の場合は、パスワード文字タイプの数に制限が設定されない 

Saved Password History 

主体に使用された過去のパスワードの数と、過去のパスワードの一覧。これらのパスワードは再使用できない 

Minimum Password Lifetime (seconds)  

パスワードの最小使用期間。この期間が経過しないとパスワードを変更できない 

Maximum Password Lifetime (seconds)  

パスワードの最大使用期間。この期間が経過したらパスワードを変更する必要がある 

Principals Using This Policy 

このポリシーが現在適用されている主体の数 (読み取り専用) 

Kerberos 管理権限を制限して SEAM ツールを使用する

admin 主体が Kerberos データベースの管理権限をすべて持っている場合は、SEAM 管理ツールの機能をすべて使用できます。ただし、Kerberos 管理権限は、制限することもできます。たとえば、主体の一覧だけを表示できるようにしたり、主体のパスワードを変更できるようにしたりできます。Kerberos 管理権限を制限した場合でも、SEAM ツールを使用できます。ただし、許可された Kerberos 管理権限によって、SEAM ツールの使い方が異なります。表 11–6 は、Kerberos 管理権限に基づいた SEAM ツールの変更の一覧です。

一覧表示権限がない場合、SEAM ツールの使い方が最も大きく変わります。この場合、操作する主体とポリシーの一覧が「List」パネルに表示されません。代わりに、「List」パネルの「Name」フィールドを使用して、操作する主体またはポリシーを指定する必要があります。

SEAM ツールにログインしても、必要な権限がない場合は、次のメッセージが表示されて 「SEAM Administration Login」ウィンドウに戻ります。


Insufficient privileges to use gkadmin: ADMCIL. Please try using another principal.

主体が Kerberos データベースを管理する権限を変更する方法については、Kerberos 管理権限を変更する方法 を参照してください。

表 11–6 Kerberos 管理権限を制限して SEAM を使用する

許可しない権限 

SEAM ツールの変更 

a (追加)

「Principal List」および「Policy List」パネルの「Create New」と「Duplicate」ボタンを使用できない。追加権限がない場合は、新しい主体またはポリシーを作成または複製できない 

d (削除)

「Principal List」および「Policy List」パネルの「Delete」ボタンを使用できない。削除権限がない場合は、主体またはポリシーを削除できない 

m (変更)

「Principal List」および「Policy List」パネルの「Modify」ボタンを使用できない。変更権限がない場合は、主体またはポリシーを変更できない 

また、「Modify」ボタンを使用できない場合、パスワードの変更権限を持っていても、主体のパスワードを変更できない 

c (パスワードの変更)

「Principal Basics」パネルの「Password」フィールドが読み取り専用になり、変更できない。パスワードの変更権限がない場合、主体のパスワードを変更できない 

パスワードの変更権限を持っている場合でも、主体のパスワードを変更するときは、さらに変更権限が必要になる 

i (データベースの照会)

「Principal List」および「Policy List」パネルの 「Modify」と「Duplicate」ボタンを使用できない。照会権限がない場合は、主体またはポリシーを変更または複製できない 

また、「Modify」ボタンを使用できない場合、パスワードの変更権限を持っていても、主体のパスワードを変更できない 

l (一覧)

「List」パネルで主体とポリシーの一覧を表示できない。一覧権限がない場合は、「List」パネルの「Name」フィールドを使用して、操作する主体またはポリシーを指定する必要がある