SEAM ツール参照
この節では、SEAM ツールの参照情報について説明します。
SEAM ツールパネルの説明
この節では、SEAM ツールで指定または表示できる主体とポリシーの属性について説明します。属性は、表示されるパネルごとに分類されています。
表 11–2 「Principal Basics」パネルの属性|
属性 |
説明 |
|---|---|
|
Principal Name |
主体名 (完全指定形式の主体名の primary/instance 部分)主体は、KDC がチケットを割り当てることができる一意の ID 主体を変更しようとしても、主体名は編集できない |
|
Password |
主体のパスワード。「Generate Random Password」ボタンを使用して、主体のランダムパスワードを作成できる |
|
Policy |
主体に使用できるポリシーのメニュー |
|
Account Expires |
主体のアカウントが期限切れになる日時。アカウントが期限切れになると、主体はチケット認可チケット (TGT) を取得できず、ログインできなくなる |
|
Last Principal Change |
主体の情報が最後に変更された日付 (読み取り専用) |
|
Last Changed By |
この主体のアカウントを最後に変更した主体名 (読み取り専用) |
|
Comments |
主体に関連するコメント (「一時アカウント」など) |
表 11–3 「Principal Details」パネルの属性
|
属性 |
説明 |
|---|---|
|
Last Success |
主体が最後に正常にログインした日時 (読み取り専用) |
|
Last Failure |
主体が最後にログインに失敗した日時 (読み取り専用) |
|
Failure Count |
主体のログインが失敗した回数 (読み取り専用) |
|
Last Password Change |
主体のパスワードが最後に変更された日時 (読み取り専用) |
|
Password Expires |
主体の現在のパスワードが期限切れになる日時 |
|
Key Version |
主体の鍵のバージョン番号。この属性は通常、パスワードが危険にさらされた場合にだけ変更される |
|
Maximum Lifetime (seconds) |
チケットを主体が使用できる最大期間 (更新しない場合) |
|
Maximum Renewal (seconds) |
既存のチケットを主体が更新できる最大期間 |
表 11–4 「Principal Flags」パネルの属性
|
属性 (ラジオボタン) |
説明 |
|---|---|
|
Disable Account |
チェックすると、その主体はログインできなくなる。この属性は、主体のアカウントを一時的に凍結するときに使用する |
|
Require Password Change |
チェックすると、主体の現在のパスワードが期限切れとなり、ユーザーは kpasswd コマンドを使用して新しいパスワードを作成しなければならない。この属性は、セキュリティ違反が発生し、古いパスワードを置換する必要があるときに使用する |
|
Allow Postdated Tickets |
チェックすると、主体は遅延チケットを取得できる たとえば、cron ジョブを数時間後に実行する場合は、遅延チケットを使用する必要がある。ただし、チケットの有効期限が短い場合は、事前にチケットを取得できない |
|
Allow Forwardable Tickets |
チェックすると、主体は転送可能チケットを取得できる 転送可能チケットは、リモートホストに転送されて、シングルサインオンセッションを実現する。たとえば、転送可能チケットを使用して、ユーザー自身の ftp 認証または rsh 認証が完了すると、NFS サービスなどのほかのサービスを利用するときに、新たにパスワードを要求されない |
|
Allow Renewable Tickets |
チェックすると、主体が更新可能チケットを取得できる 主体は、チケットが更新可能な場合、有効期限日時を自動的に延長することができる。つまり、最初のチケットの期限が切れても、新しいチケットを取得する必要がない。現在の NFS サービスは、チケットを新しくするチケットサービスである |
|
Allow Proxiable Tickets |
チェックすると、主体は代理可能チケットを取得できる 代理可能チケットを使用すると、クライアントの代わりにサービスがクライアントの操作を実行できる。サービスは、代理可能チケットを使用すると、クライアントの ID を使用して別のサービスのチケットを取得できる。ただし、チケット認可チケットを取得することはできない |
|
Allow Service Tickets |
チェックすると、サービスチケットを特定の主体に発行できる サービスチケットの発行は、kadmin/hostname および changepw/hostname 主体に許可してはならない。これらの主体は、KDC データベース以外は更新してはならない |
|
Allow TGT-Based Authentication |
チェックすると、このサービス主体は別の主体にサービスを提供できる。つまり、KDC は、サービス主体にサービスチケットを発行できる この属性は、サービス主体にだけ使用できる。チェックを解除すると、サービスチケットをサービス主体に対して発行できない |
|
Allow Duplicate Authentication |
チェックすると、このユーザー主体はほかのユーザー主体のサービスチケットを取得できる この属性は、ユーザー主体にだけ使用できる。チェックを解除すると、ユーザー主体はサービス主体のサービスチケットを取得できるが、ほかのユーザー主体のサービスチケットは取得できない |
|
Required Preauthentication |
チェックすると、KDC が要求されたチケット認可チケット (TGT) を主体に送信する前に、その主体が TGT を要求している主体であることを KDC のソフトウェアが認証する。この事前認証は通常、DES カードなどの特別のパスワードを使用して行われる チェックを解除すると、KDC は要求された TGT を主体に送信する前に、主体の事前認証を必要としない |
|
Required Hardware Authentication |
チェックすると、KDC が要求されたチケット認可チケット (TGT) を主体に送信する前に、その主体が TGT を要求している主体であることを KDC のハードウェアが認証する。ハードウェア事前認証は、たとえば Java リングのリーダー上で行われる チェックを解除すると、KDC は要求された TGT を主体に送信する前に、主体の事前認証を必要としない |
表 11–5 「Policy Basics」区画の属性
|
属性 |
説明 |
|---|---|
|
Policy Name |
ポリシー名。ポリシーとは、主体のパスワードとチケットを管理する一連のルールのことである ポリシーを変更しようとしても、ポリシー名は編集できない |
|
Minimum Password Length |
主体の最小パスワード長 |
|
Minimum Password Classes |
主体のパスワードに必要な異なる文字タイプの数 たとえば、最小クラス値が 2 の場合は、パスワードに 2 種類以上の文字タイプを使用する必要がある。たとえば、英字と数字を使用して "hi2mom" と入力する必要がある。値が 3 の場合は、パスワードに 3 種類以上の文字タイプを使用する必要がある。たとえば、英字、数字、および句読点を使用して "hi2mom!" と入力する必要がある 値が 1 の場合は、パスワード文字タイプの数に制限が設定されない |
|
Saved Password History |
主体に使用された過去のパスワードの数と、過去のパスワードの一覧。これらのパスワードは再使用できない |
|
Minimum Password Lifetime (seconds) |
パスワードの最小使用期間。この期間が経過しないとパスワードを変更できない |
|
Maximum Password Lifetime (seconds) |
パスワードの最大使用期間。この期間が経過したらパスワードを変更する必要がある |
|
Principals Using This Policy |
このポリシーが現在適用されている主体の数 (読み取り専用) |
Kerberos 管理権限を制限して SEAM ツールを使用する
admin 主体が Kerberos データベースの管理権限をすべて持っている場合は、SEAM 管理ツールの機能をすべて使用できます。ただし、Kerberos 管理権限は、制限することもできます。たとえば、主体の一覧だけを表示できるようにしたり、主体のパスワードを変更できるようにしたりできます。Kerberos 管理権限を制限した場合でも、SEAM ツールを使用できます。ただし、許可された Kerberos 管理権限によって、SEAM ツールの使い方が異なります。表 11–6 は、Kerberos 管理権限に基づいた SEAM ツールの変更の一覧です。
一覧表示権限がない場合、SEAM ツールの使い方が最も大きく変わります。この場合、操作する主体とポリシーの一覧が「List」パネルに表示されません。代わりに、「List」パネルの「Name」フィールドを使用して、操作する主体またはポリシーを指定する必要があります。
SEAM ツールにログインしても、必要な権限がない場合は、次のメッセージが表示されて 「SEAM Administration Login」ウィンドウに戻ります。
Insufficient privileges to use gkadmin: ADMCIL. Please try using another principal. |
主体が Kerberos データベースを管理する権限を変更する方法については、Kerberos 管理権限を変更する方法 を参照してください。
表 11–6 Kerberos 管理権限を制限して SEAM を使用する|
許可しない権限 |
SEAM ツールの変更 |
|---|---|
|
a (追加) |
「Principal List」および「Policy List」パネルの「Create New」と「Duplicate」ボタンを使用できない。追加権限がない場合は、新しい主体またはポリシーを作成または複製できない |
|
d (削除) |
「Principal List」および「Policy List」パネルの「Delete」ボタンを使用できない。削除権限がない場合は、主体またはポリシーを削除できない |
|
m (変更) |
「Principal List」および「Policy List」パネルの「Modify」ボタンを使用できない。変更権限がない場合は、主体またはポリシーを変更できない また、「Modify」ボタンを使用できない場合、パスワードの変更権限を持っていても、主体のパスワードを変更できない |
|
c (パスワードの変更) |
「Principal Basics」パネルの「Password」フィールドが読み取り専用になり、変更できない。パスワードの変更権限がない場合、主体のパスワードを変更できない パスワードの変更権限を持っている場合でも、主体のパスワードを変更するときは、さらに変更権限が必要になる |
|
i (データベースの照会) |
「Principal List」および「Policy List」パネルの 「Modify」と「Duplicate」ボタンを使用できない。照会権限がない場合は、主体またはポリシーを変更または複製できない また、「Modify」ボタンを使用できない場合、パスワードの変更権限を持っていても、主体のパスワードを変更できない |
|
l (一覧) |
「List」パネルで主体とポリシーの一覧を表示できない。一覧権限がない場合は、「List」パネルの「Name」フィールドを使用して、操作する主体またはポリシーを指定する必要がある |
- © 2010, Oracle Corporation and/or its affiliates