SEAM-Tool-Referenz
Dieser Abschnitt enthält Beschreibungen der einzelnen Fensterbereiche des SEAM-Tools. Ebenfalls sind Informationen
zur Verwendung eingeschränkter Berechtigungen mit dem SEAM-Tool enthalten.
Beschreibungen der SEAM-Tool-Fensterbereiche
Dieser Abschnitt enthält Beschreibungen zu jedem Hauptelement- und Richtlinienattribut, das Sie im
SEAM-Tool entweder angeben oder anzeigen können. Die Attribute sind nach dem Fensterbereich
sortiert, in dem sie angezeigt werden.
Tabelle 25-2 Attribute des Fensterbereichs "Principal Basics" (Grundeinstellungen für Hauptelement) des SEAM-Tools
|
|
Principal Name (Hauptelementname) |
Der Name des Hauptelements ( primary/ instance-Teil
eines vollständig qualifizierten Hauptelementnamens). Ein Hauptelement stellt eine eindeutige Identität dar, der
das KDC Tickets zuweisen kann. Beim Ändern eines Hauptelements können Sie dessen Namen
nicht bearbeiten. |
Password (Passwort) |
Das Passwort für das Hauptelement. Mit der Schaltfläche "Generate Random
Password" (Zufälliges Passwort erzeugen) können Sie ein Zufallspasswort für das Hauptelement erstellen. |
Policy
(Richtlinie) |
Ein Menü der für das Hauptelement verfügbarer Richtlinien. |
Account Expires (Konto läuft ab) |
Datum
und Uhrzeit für den Ablauf des Kontos des Hauptelements. Ist das Konto
abgelaufen, kann das Hauptelement kein TGT (Ticket-Granting Ticket, Ticket-gewährendes Ticket) mehr erhalten
und sich nicht mehr anmelden. |
Last Principal Change (Letzte Änderung des Hauptelements) |
Das
Datum, an dem zuletzt Informationen für das Hauptelement geändert wurden. (Nur Lesen) |
Last
Changed By (Zuletzt geändert von) |
Der Name des Hauptelements, das zuletzt das Konto
für dieses Hauptelement geändert hat. (Nur Lesen) |
Comments (Kommentare) |
Auf das Hauptelement bezogene Kommentare
(Beispiel: "Zeitweiliges Konto"). |
|
Tabelle 25-3 Attribute des Fensterbereichs "Principal Details" (Details für Hauptelement) des SEAM-Tools
|
|
Last Success (Letzter Erfolg) |
Datum und Uhrzeit der letzten erfolgreichen Anmeldung
des Hauptelements. (Nur Lesen) |
Last Failure (Letzter Fehler) |
Datum und Uhrzeit des letzten Anmeldefehlers
des Hauptelements. (Nur Lesen) |
Failure Count (Fehlerzähler) |
Die Häufigkeit der Anmeldefehler für das Hauptelement.
(Nur Lesen) |
Last Password Change (Letzte Änderung des Passworts) |
Datum und Uhrzeit der letzten
Änderung des Passworts des Hauptelements. (Nur Lesen) |
Password Expires (Zeitpunkt des Ablaufens des
Passworts) |
Datum und Uhrzeit des aktuellen Passworts des Hauptelements. |
Key Version (Schlüsselversion) |
Die Schlüsselversionsnummer für
das Hauptelement. Dieses Attribut wird normalerweise nur dann geändert, wenn das Passwort
nicht mehr geheim ist. |
Maximum Lifetime (seconds) (Maximale Lebensdauer (Sekunden)) |
Die maximale Zeit, die
für ein Ticket eines Hauptelements gewährt werden kann (ohne Erneuerung). |
Maximum Renewal (seconds)
(Maximale Erneuerung (Sekunden)) |
Die maximale Zeit, in der ein vorhandenes Ticket für ein
Hauptelement erneuert werden kann. |
|
Tabelle 25-4 Attribute des Fensterbereichs "Principal Flags" (Flags für Hauptelement) des SEAM-Tools
|
|
Disable Account (Konto deaktivieren) |
Verhindert die Anmeldung des Hauptelements,
sofern ausgewählt. Dieses Attribut bietet eine einfache Möglichkeit zum vorübergehenden Sperren eines
Hauptelementkontos. |
Require Password Change (Änderung des Passworts anfordern) |
Wenn ausgewählt, läuft das aktuelle Passwort
des Hauptelements ab, sodass der Benutzer mit dem Befehl kpasswd ein neues
Passwort erstellen muss. Dieses Attribut ist hilfreich, wenn eine Sicherheitsverletzung auftritt und
Sie alte Passwörter ersetzen müssen. |
Allow Postdated Tickets (Nachdatierte Tickets zulassen) |
Wenn ausgewählt, kann
das Hauptelement nachdatierte Tickets erhalten. Beispiel: Sie müssen möglicherweise nachdatierte Tickets für
cron -Jobs verwenden, die nach Feierabend ausgeführt werden müssen, aber Sie können aufgrund
der kurzen Lebensdauer des Tickets keine Tickets im Voraus erhalten. |
Allow Forwardable Tickets
(Weiterleitbare Tickets zulassen) |
Wenn ausgewählt, kann das Hauptelement weiterleitbare Tickets erhalten. Hierbei handelt es
sich um Tickets, die an den Remote-Host weitergeleitet werden, um eine Single
Sign-On-Sitzung bereitzustellen. Beispiel: Wenn Sie weiterleitbare Tickets verwenden und sich über ftp
oder rsh authentifizieren, stehen andere Services wie z. B. NFS-Service zur Verfügung, ohne
dass Sie ein anderes Passwort angeben müssen. |
Allow Renewable Tickets (Erneuerbare Tickets zulassen) |
Wenn
ausgewählt, kann das Hauptelement erneuerbare Tickets erhalten. Ein Hauptelement kann das Ablaufdatum oder
die Ablaufzeit eines erneuerbaren Tickets automatisch verlängern. In diesem Fall muss nach
Ablauf des ersten Tickets kein neues Ticket abgerufen werden. Derzeit ist der
NFS-Service der einzige Service, der Tickets erneuern kann. |
Allow Proxiable Tickets (Proxy-fähige Tickets
zulassen) |
Wenn ausgewählt, kann das Hauptelement Proxy-fähige Tickets erhalten. Ein Proxy-fähiges Ticket ist ein
Ticket, das im Auftrag eines Clients von einem Service verwendet werden kann,
um einen Vorgang für den Client auszuführen. Mit einem Proxy-fähigen Ticket kann
ein Service die Identität eines Clients annehmen und ein Ticket für einen
anderen Service erhalten. Der Service kann jedoch kein Ticket-gewährendes Ticket (TGT) erhalten. |
Allow
Service Tickets (Service-Tickets zulassen) |
Wenn ausgewählt, können Service-Tickets für das Hauptelement ausgestellt werden. Service-Tickets
sollten nicht für die Hauptelemente kadmin/hostname und changepw/ hostname ausgestellt werden. Dadurch wird
sichergestellt, dass diese Hauptelemente nur die KDC-Datenbank aktualisieren können. |
Allow TGT-Based Authentication (TGT-basierte
Authentifizierung zulassen) |
Wenn ausgewählt, kann das Service-Hauptelement einem anderen Hauptelement Services bereitstellen. Genauer
gesagt ermöglicht dieses Attribut dem KDC, ein Service-Ticket für das Service-Hauptelement auszustellen. Dieses
Attribut ist nur für Service-Hauptelemente gültig. Ist es nicht ausgewählt, können keine
Service-Tickets für das Service-Hauptelement ausgestellt werden. |
Allow Duplicate Authentication (Doppelte Authentifizierung zulassen) |
Wenn ausgewählt,
kann das Benutzer-Hauptelement Service-Tickets für andere Benutzer-Hauptelemente erhalten. Dieses Attribut ist nur für
Benutzer-Hauptelemente gültig. Ist es nicht ausgewählt, kann das Benutzer-Hauptelement auch weiterhin Service-Tickets
für Service-Hauptelemente, nicht aber für andere Benutzer-Hauptelemente erhalten. |
Required Preauthentication (Erforderliche vorgezogene Berechtigungsprüfung) |
Wenn
ausgewählt, sendet das KDC kein angefordertes Ticket-gewährendes Ticket (TGT) an das Hauptelement,
bevor es nicht (mittels Software) bestätigen konnte, dass es sich wirklich um
das Hauptelement handelt, das das TGT anfordert. Diese vorgezogene Berechtigungsprüfung erfolgt üblicherweise
über ein zusätzliches Passwort, beispielsweise von einer DES-Karte. Ist das Attribut nicht ausgewählt,
muss das KDC keine vorgezogene Berechtigungsprüfung für das Hauptelement durchführen, bevor es
ein angefordertes TGT an das Hauptelement sendet. |
Required Hardware Authentication (Erforderliche Hardware-Authentifizierung) |
Wenn ausgewählt,
sendet das KDC kein angefordertes Ticket-gewährendes Ticket (TGT) an das Hauptelement, bevor
es nicht (mittels Hardware) bestätigen konnte, dass es sich wirklich um das
Hauptelement handelt, das das TGT anfordert. Die vorgezogene Berechtigungsprüfung über Hardware kann
beispielsweise auf einem Java-Ringleser erfolgen. Ist das Attribut nicht ausgewählt, muss das KDC
keine vorgezogene Berechtigungsprüfung für das Hauptelement durchführen, bevor es ein angefordertes TGT
an das Hauptelement sendet. |
|
Tabelle 25-5 Attribute des Fensterbereichs "Policy Basics" (Grundeinstellungen für Richtlinie) des SEAM-Tools
|
|
Policy Name (Richtlinienname) |
Der Name der Richtlinie. Eine Richtlinie stellt
eine Reihe von Regeln dar, die das Passwort und die Tickets eines
Hauptelements betreffen. Beim Ändern einer Richtlinie können Sie deren Namen nicht bearbeiten. |
Minimum Password
Length (Mindestlänge für Passwort) |
Die minimale Länge des Passworts eines Hauptelements. |
Minimum Password Classes
(Mindestklassen für Passwort) |
Die Mindestanzahl verschiedener Zeichentypen, die im Passwort eines Hauptelements erforderlich
sind. Beispiel: Ein Wert für die Mindestanzahl der Klassen von 2 bedeutet, dass
ein Passwort mindestens zwei verschiedene Zeichentypen aufweisen muss, wie etwa Buchstaben und
Zahlen (hi2mom). Ein Wert von 3 bedeutet, dass ein Passwort mindestens drei
verschiedene Zeichentypen aufweisen muss, wie beispielsweise Buchstaben, Zahlen und Satzzeichen (hi2mom!). Und
so weiter. Bei einem Wert von 1 ist die Anzahl der Zeichentypen
für das Passwort unbegrenzt. |
Saved Password History (Verlauf für gespeicherte Passwörter) |
Die Anzahl der
früher vom Hauptelement verwendeten Passwörter, die nicht wiederverwendet werden können. |
Minimum Password Lifetime
(seconds) (Minimale Lebensdauer für Passwörter (Sekunden)) |
Die Mindestzeit, die ein Passwort verwendet werden
muss, bevor es geändert werden kann. |
Maximum Password Lifetime (seconds) (Maximale Lebensdauer für
Passwörter (Sekunden)) |
Die Höchstzeit, die ein Passwort verwendet werden kann, bevor es geändert
werden muss. |
Principals Using This Policy (Hauptelemente, die diese Richtlinie verwenden) |
Die Anzahl der
Hauptelemente, für die diese Richtlinie derzeit gültig ist. (Nur Lesen) |
|
Verwenden des SEAM-Tools mit eingeschränkten Kerberos-Administratorberechtigungen
Alle Funktionen des SEAM-Tools sind verfügbar, wenn das admin-Hauptelement über alle Berechtigungen
für die Verwaltung der Kerberos-Datenbank verfügt. Es ist jedoch möglich, nur über
eingeschränkte Berechtigungen zu verfügen, um beispielsweise nur berechtigt zu sein, die Anzeige
der Liste der Hauptelemente anzuzeigen oder das Passwort eines Hauptelements zu ändern.
Das SEAM-Tool können Sie trotz eingeschränkter Kerberos-Admininistratorberechtigungen verwenden. Einige Komponenten des SEAM-Tools
ändern sich jedoch in Abhängigkeit davon, über welche Kerberos-Administratorberechtigungen Sie nicht verfügen.
Tabelle 25-6 zeigt, wie sich das SEAM-Tool in Abhängigkeit von Ihren Kerberos-Administratorberechtigungen ändert.
Die offensichtlichste Änderung des SEAM-Tools erfolgt, wenn Sie nicht über die Berechtigung
zum Anzeigen von Listen verfügen. Ohne die Berechtigung zum Anzeigen von Listen
werden in den Listenbereichen keine Listen mit den zu bearbeitenden Hauptelementen und
Richtlinien angezeigt. Stattdessen müssen Sie im Feld "Name" der Listenbereiche ein Hauptelement
oder eine Richtlinie angeben, das bzw. die Sie bearbeiten möchten.
Wenn Sie sich ohne ausreichende Berechtigungen zum Ausführen von Ausgaben beim SEAM-Tool
anmelden, wird die folgende Meldung angezeigt und Sie werden zurück zum Anmeldefenster
für die SEAM-Administration geführt:
Insufficient privileges to use gkadmin: ADMCIL. Please try using another principal.
Informationen zum Ändern der Berechtigungen für ein Hauptelement zur Verwaltung der Kerberos-Datenbank
finden Sie unter So ändern Sie die Kerberos-Administratorberechtigungen.
Tabelle 25-6 Verwenden des SEAM-Tools mit eingeschränkten Kerberos-Administratorberechtigungen
|
|
a (hinzufügen) |
Die Schaltflächen "Create New" (Neu
erstellen) und "Duplicate" (Duplizieren) sind in den Listenbereichen für Hauptelemente und Richtlinien
nicht verfügbar. Ohne die Berechtigung zum Hinzufügen können Sie keine neuen Hauptelemente
oder Richtlinien erstellen oder duplizieren. |
d (löschen) |
Die Schaltfläche "Delete" (Löschen) ist in den
Listenbereichen für Hauptelemente und Richtlinien nicht verfügbar. Ohne die Berechtigung zum Löschen
können Sie keine Hauptelemente oder Richtlinien löschen. |
m (ändern) |
Die Schaltfläche "Modify" (Ändern) ist
in den Listenbereichen für Hauptelemente und Richtlinien nicht verfügbar. Ohne die Berechtigung
zum Ändern können Sie keine Hauptelemente oder Richtlinien ändern. Ebenso können Sie
kein Passwort eines Hauptelements ändern, wenn die Schaltfläche "Modify" (Ändern) nicht verfügbar
ist, auch wenn Sie über die Berechtigung zum Ändern von Passwörtern verfügen. |
c
(Passwort ändern) |
Das Feld "Password" (Passwort) des Fensterbereichs "Principal Basics" (Grundeinstellungen für Hauptelement)
ist schreibgeschützt und kann somit nicht geändert werden. Ohne die Berechtigung zum
Ändern des Passworts können Sie keine Passwörter von Hauptelementen ändern. Selbst wenn
Sie über die Berechtigung zum Ändern des Passworts verfügen, benötigen Sie ebenfalls
die Berechtigung zum Ändern der Hauptelemente und Richtlinien, um das Passwort eines
Hauptelements zu ändern. |
i (Datenbankabfrage) |
Die Schaltflächen "Modify" (Ändern) und "Duplicate" (Duplizieren) sind in
den Listenbereichen für Hauptelemente und Richtlinien nicht verfügbar. Ohne die Berechtigung zum
Senden von Abfragen können Sie keine Hauptelemente oder Richtlinien ändern oder duplizieren.
Ebenso können Sie kein Passwort eines Hauptelements ändern, wenn die Schaltfläche "Modify"
(Ändern) nicht verfügbar ist, auch wenn Sie über die Berechtigung zum Ändern
von Passwörtern verfügen. |
l (Liste) |
Die Liste der Hauptelemente und Richtlinien ist in den
Listenbereichen nicht verfügbar. Ohne die Berechtigung zum Anzeigen von Listen müssen Sie
im Feld "Name" der Listenbereiche das Hauptelement oder die Richtlinie angeben, das
bzw. die Sie bearbeiten möchten. |
|