JavaScript is required to for searching.
Navigationslinks �berspringen
Druckansicht beenden
Systemverwaltungshandbuch: Sicherheitsservices
Oracle Technologienetzwerk
Bibliothek
PDF
Druckansicht
Feedback
search filter icon
search icon

Dokument-Informationen

Vorwort

Teil I Übersicht über die Sicherheit

1.  Sicherheitsservices (Überblick)

Teil II System-, Datei- und Gerätesicherheit

2.  Verwalten von Rechnersicherheit (Übersicht)

3.  Steuern des Zugriffs auf Systeme (Aufgaben)

4.  Steuern des Zugriffs auf Geräte (Aufgaben)

5.  Verwenden von Basic Audit Reporting Tool (Aufgaben)

6.  Steuern des Zugriffs auf Dateien (Aufgaben)

7.  Verwenden von Automated Security Enhancement Tool (Aufgaben)

Teil III Rollen, Berechtigungsprofile und Berechtigungen

8.  Verwenden von Rollen und Berechtigungen (Übersicht)

9.  Rollenbasierte Zugriffssteuerung (Aufgaben)

10.  Rollenbasierte Zugriffssteuerung (Übersicht)

11.  Berechtigungen (Aufgaben)

12.  Berechtigungen (Referenz)

Teil IV Kryptografische Services

13.  Oracle Solaris Cryptographic Framework (Übersicht)

14.  Oracle Solaris Cryptographic Framework (Aufgaben)

15.  Oracle Solaris Key Management Framework

Teil V Authentifizierungsservices und sichere Kommunikation

16.  Verwenden von Authentifizierungsservices (Aufgaben)

17.  Verwenden von PAM

18.  Verwenden von SASL

19.  Verwenden von Oracle Solaris Secure Shell (Aufgaben)

20.  Oracle Solaris Secure Shell (Referenz)

Teil VI Kerberos-Service

21.  Einführung zum Kerberos-Service

22.  Planen des Kerberos-Service

23.  Konfigurieren des Kerberos-Service (Aufgaben)

24.  Kerberos-Fehlermeldungen und -Fehlerbehebung

25.  Verwalten von Kerberos-Hauptelementen und Richtlinien (Aufgaben)

Möglichkeiten zur Verwaltung von Kerberos-Hauptelementen und -Richtlinien

SEAM-Tool

Befehlszeilenäquivalente des SEAM-Tools

Die einzige vom SEAM-Tool geänderte Datei

Druck- und Onlinehilfefunktionen des SEAM-Tools

Arbeiten mit großen Listen im SEAM-Tool

So starten Sie das SEAM-Tool

Verwalten von Kerberos-Hauptelementen

Verwalten von Kerberos-Hauptelementen (Übersicht der Schritte)

Automatisieren der Erstellung neuer Kerberos-Hauptelemente

So zeigen Sie die Liste der Kerberos-Hauptelemente an

So zeigen Sie die Attribute eines Kerberos-Hauptelements an

So erstellen Sie ein neues Kerberos-Hauptelement

So duplizieren Sie ein Kerberos-Hauptelement

So ändern Sie ein Kerberos-Hauptelement

So löschen Sie ein Kerberos-Hauptelement

So richten Sie Standardwerte zur Erstellung neuer Kerberos-Hauptelemente ein

So ändern Sie die Kerberos-Administratorberechtigungen

Verwalten von Kerberos-Richtlinien

Verwalten von Kerberos-Richtlinien (Übersicht der Schritte)

So zeigen Sie die Liste der Kerberos-Richtlinien an

So zeigen Sie die Attribute einer Kerberos-Richtlinie an

So erstellen Sie eine neue Kerberos-Richtlinie

So duplizieren Sie eine Kerberos-Richtlinie

So ändern Sie eine Kerberos-Richtlinie

So löschen Sie eine Kerberos-Richtlinie

SEAM-Tool-Referenz

Beschreibungen der SEAM-Tool-Fensterbereiche

Verwenden des SEAM-Tools mit eingeschränkten Kerberos-Administratorberechtigungen

Verwalten von Schlüsseltabellendateien

Verwalten von Schlüsseltabellendateien (Übersicht der Schritte)

So fügen Sie ein Service-Hauptelement von Kerberos zu einer Schlüsseltabellendatei hinzu

So entfernen Sie ein Service-Hauptelement aus einer Schlüsseltabellendatei

So zeigen Sie die Schlüsselliste (Hauptelemente) in einer Schlüsseltabellendatei an

So deaktivieren Sie vorübergehend die Authentifizierung für einen Service auf einem Host

26.  Verwenden von Kerberos-Anwendungen (Aufgaben)

27.  Der Kerberos-Service (Referenz)

Teil VII Prüfung bei Oracle Solaris

28.  Prüfung bei Oracle Solaris (Übersicht)

29.  Planen der Oracle Solaris-Prüfung

30.  Verwalten der Oracle Solaris-Prüfung (Aufgaben)

31.  Prüfung bei Oracle Solaris (Referenz)

Glossar

Index

SEAM-Tool-Referenz

Dieser Abschnitt enthält Beschreibungen der einzelnen Fensterbereiche des SEAM-Tools. Ebenfalls sind Informationen zur Verwendung eingeschränkter Berechtigungen mit dem SEAM-Tool enthalten.

Beschreibungen der SEAM-Tool-Fensterbereiche

Dieser Abschnitt enthält Beschreibungen zu jedem Hauptelement- und Richtlinienattribut, das Sie im SEAM-Tool entweder angeben oder anzeigen können. Die Attribute sind nach dem Fensterbereich sortiert, in dem sie angezeigt werden.

Tabelle 25-2 Attribute des Fensterbereichs "Principal Basics" (Grundeinstellungen für Hauptelement) des SEAM-Tools

Attribut
Beschreibung
Principal Name (Hauptelementname)
Der Name des Hauptelements (primary/instance-Teil eines vollständig qualifizierten Hauptelementnamens). Ein Hauptelement stellt eine eindeutige Identität dar, der das KDC Tickets zuweisen kann.

Beim Ändern eines Hauptelements können Sie dessen Namen nicht bearbeiten.
Password (Passwort)
Das Passwort für das Hauptelement. Mit der Schaltfläche "Generate Random Password" (Zufälliges Passwort erzeugen) können Sie ein Zufallspasswort für das Hauptelement erstellen.
Policy (Richtlinie)
Ein Menü der für das Hauptelement verfügbarer Richtlinien.
Account Expires (Konto läuft ab)
Datum und Uhrzeit für den Ablauf des Kontos des Hauptelements. Ist das Konto abgelaufen, kann das Hauptelement kein TGT (Ticket-Granting Ticket, Ticket-gewährendes Ticket) mehr erhalten und sich nicht mehr anmelden.
Last Principal Change (Letzte Änderung des Hauptelements)
Das Datum, an dem zuletzt Informationen für das Hauptelement geändert wurden. (Nur Lesen)
Last Changed By (Zuletzt geändert von)
Der Name des Hauptelements, das zuletzt das Konto für dieses Hauptelement geändert hat. (Nur Lesen)
Comments (Kommentare)
Auf das Hauptelement bezogene Kommentare (Beispiel: "Zeitweiliges Konto").

Tabelle 25-3 Attribute des Fensterbereichs "Principal Details" (Details für Hauptelement) des SEAM-Tools

Attribut
Beschreibung
Last Success (Letzter Erfolg)
Datum und Uhrzeit der letzten erfolgreichen Anmeldung des Hauptelements. (Nur Lesen)
Last Failure (Letzter Fehler)
Datum und Uhrzeit des letzten Anmeldefehlers des Hauptelements. (Nur Lesen)
Failure Count (Fehlerzähler)
Die Häufigkeit der Anmeldefehler für das Hauptelement. (Nur Lesen)
Last Password Change (Letzte Änderung des Passworts)
Datum und Uhrzeit der letzten Änderung des Passworts des Hauptelements. (Nur Lesen)
Password Expires (Zeitpunkt des Ablaufens des Passworts)
Datum und Uhrzeit des aktuellen Passworts des Hauptelements.
Key Version (Schlüsselversion)
Die Schlüsselversionsnummer für das Hauptelement. Dieses Attribut wird normalerweise nur dann geändert, wenn das Passwort nicht mehr geheim ist.
Maximum Lifetime (seconds) (Maximale Lebensdauer (Sekunden))
Die maximale Zeit, die für ein Ticket eines Hauptelements gewährt werden kann (ohne Erneuerung).
Maximum Renewal (seconds) (Maximale Erneuerung (Sekunden))
Die maximale Zeit, in der ein vorhandenes Ticket für ein Hauptelement erneuert werden kann.

Tabelle 25-4 Attribute des Fensterbereichs "Principal Flags" (Flags für Hauptelement) des SEAM-Tools

Attribut (Optionsfelder)
Beschreibung
Disable Account (Konto deaktivieren)
Verhindert die Anmeldung des Hauptelements, sofern ausgewählt. Dieses Attribut bietet eine einfache Möglichkeit zum vorübergehenden Sperren eines Hauptelementkontos.
Require Password Change (Änderung des Passworts anfordern)
Wenn ausgewählt, läuft das aktuelle Passwort des Hauptelements ab, sodass der Benutzer mit dem Befehl kpasswd ein neues Passwort erstellen muss. Dieses Attribut ist hilfreich, wenn eine Sicherheitsverletzung auftritt und Sie alte Passwörter ersetzen müssen.
Allow Postdated Tickets (Nachdatierte Tickets zulassen)
Wenn ausgewählt, kann das Hauptelement nachdatierte Tickets erhalten.

Beispiel: Sie müssen möglicherweise nachdatierte Tickets für cron -Jobs verwenden, die nach Feierabend ausgeführt werden müssen, aber Sie können aufgrund der kurzen Lebensdauer des Tickets keine Tickets im Voraus erhalten.
Allow Forwardable Tickets (Weiterleitbare Tickets zulassen)
Wenn ausgewählt, kann das Hauptelement weiterleitbare Tickets erhalten.

Hierbei handelt es sich um Tickets, die an den Remote-Host weitergeleitet werden, um eine Single Sign-On-Sitzung bereitzustellen. Beispiel: Wenn Sie weiterleitbare Tickets verwenden und sich über ftp oder rsh authentifizieren, stehen andere Services wie z. B. NFS-Service zur Verfügung, ohne dass Sie ein anderes Passwort angeben müssen.
Allow Renewable Tickets (Erneuerbare Tickets zulassen)
Wenn ausgewählt, kann das Hauptelement erneuerbare Tickets erhalten.

Ein Hauptelement kann das Ablaufdatum oder die Ablaufzeit eines erneuerbaren Tickets automatisch verlängern. In diesem Fall muss nach Ablauf des ersten Tickets kein neues Ticket abgerufen werden. Derzeit ist der NFS-Service der einzige Service, der Tickets erneuern kann.
Allow Proxiable Tickets (Proxy-fähige Tickets zulassen)
Wenn ausgewählt, kann das Hauptelement Proxy-fähige Tickets erhalten.

Ein Proxy-fähiges Ticket ist ein Ticket, das im Auftrag eines Clients von einem Service verwendet werden kann, um einen Vorgang für den Client auszuführen. Mit einem Proxy-fähigen Ticket kann ein Service die Identität eines Clients annehmen und ein Ticket für einen anderen Service erhalten. Der Service kann jedoch kein Ticket-gewährendes Ticket (TGT) erhalten.
Allow Service Tickets (Service-Tickets zulassen)
Wenn ausgewählt, können Service-Tickets für das Hauptelement ausgestellt werden.

Service-Tickets sollten nicht für die Hauptelemente kadmin/hostname und changepw/ hostname ausgestellt werden. Dadurch wird sichergestellt, dass diese Hauptelemente nur die KDC-Datenbank aktualisieren können.
Allow TGT-Based Authentication (TGT-basierte Authentifizierung zulassen)
Wenn ausgewählt, kann das Service-Hauptelement einem anderen Hauptelement Services bereitstellen. Genauer gesagt ermöglicht dieses Attribut dem KDC, ein Service-Ticket für das Service-Hauptelement auszustellen.

Dieses Attribut ist nur für Service-Hauptelemente gültig. Ist es nicht ausgewählt, können keine Service-Tickets für das Service-Hauptelement ausgestellt werden.
Allow Duplicate Authentication (Doppelte Authentifizierung zulassen)
Wenn ausgewählt, kann das Benutzer-Hauptelement Service-Tickets für andere Benutzer-Hauptelemente erhalten.

Dieses Attribut ist nur für Benutzer-Hauptelemente gültig. Ist es nicht ausgewählt, kann das Benutzer-Hauptelement auch weiterhin Service-Tickets für Service-Hauptelemente, nicht aber für andere Benutzer-Hauptelemente erhalten.
Required Preauthentication (Erforderliche vorgezogene Berechtigungsprüfung)
Wenn ausgewählt, sendet das KDC kein angefordertes Ticket-gewährendes Ticket (TGT) an das Hauptelement, bevor es nicht (mittels Software) bestätigen konnte, dass es sich wirklich um das Hauptelement handelt, das das TGT anfordert. Diese vorgezogene Berechtigungsprüfung erfolgt üblicherweise über ein zusätzliches Passwort, beispielsweise von einer DES-Karte.

Ist das Attribut nicht ausgewählt, muss das KDC keine vorgezogene Berechtigungsprüfung für das Hauptelement durchführen, bevor es ein angefordertes TGT an das Hauptelement sendet.
Required Hardware Authentication (Erforderliche Hardware-Authentifizierung)
Wenn ausgewählt, sendet das KDC kein angefordertes Ticket-gewährendes Ticket (TGT) an das Hauptelement, bevor es nicht (mittels Hardware) bestätigen konnte, dass es sich wirklich um das Hauptelement handelt, das das TGT anfordert. Die vorgezogene Berechtigungsprüfung über Hardware kann beispielsweise auf einem Java-Ringleser erfolgen.

Ist das Attribut nicht ausgewählt, muss das KDC keine vorgezogene Berechtigungsprüfung für das Hauptelement durchführen, bevor es ein angefordertes TGT an das Hauptelement sendet.

Tabelle 25-5 Attribute des Fensterbereichs "Policy Basics" (Grundeinstellungen für Richtlinie) des SEAM-Tools

Attribut
Beschreibung
Policy Name (Richtlinienname)
Der Name der Richtlinie. Eine Richtlinie stellt eine Reihe von Regeln dar, die das Passwort und die Tickets eines Hauptelements betreffen.

Beim Ändern einer Richtlinie können Sie deren Namen nicht bearbeiten.
Minimum Password Length (Mindestlänge für Passwort)
Die minimale Länge des Passworts eines Hauptelements.
Minimum Password Classes (Mindestklassen für Passwort)
Die Mindestanzahl verschiedener Zeichentypen, die im Passwort eines Hauptelements erforderlich sind.

Beispiel: Ein Wert für die Mindestanzahl der Klassen von 2 bedeutet, dass ein Passwort mindestens zwei verschiedene Zeichentypen aufweisen muss, wie etwa Buchstaben und Zahlen (hi2mom). Ein Wert von 3 bedeutet, dass ein Passwort mindestens drei verschiedene Zeichentypen aufweisen muss, wie beispielsweise Buchstaben, Zahlen und Satzzeichen (hi2mom!). Und so weiter.

Bei einem Wert von 1 ist die Anzahl der Zeichentypen für das Passwort unbegrenzt.
Saved Password History (Verlauf für gespeicherte Passwörter)
Die Anzahl der früher vom Hauptelement verwendeten Passwörter, die nicht wiederverwendet werden können.
Minimum Password Lifetime (seconds) (Minimale Lebensdauer für Passwörter (Sekunden))
Die Mindestzeit, die ein Passwort verwendet werden muss, bevor es geändert werden kann.
Maximum Password Lifetime (seconds) (Maximale Lebensdauer für Passwörter (Sekunden))
Die Höchstzeit, die ein Passwort verwendet werden kann, bevor es geändert werden muss.
Principals Using This Policy (Hauptelemente, die diese Richtlinie verwenden)
Die Anzahl der Hauptelemente, für die diese Richtlinie derzeit gültig ist. (Nur Lesen)

Verwenden des SEAM-Tools mit eingeschränkten Kerberos-Administratorberechtigungen

Alle Funktionen des SEAM-Tools sind verfügbar, wenn das admin-Hauptelement über alle Berechtigungen für die Verwaltung der Kerberos-Datenbank verfügt. Es ist jedoch möglich, nur über eingeschränkte Berechtigungen zu verfügen, um beispielsweise nur berechtigt zu sein, die Anzeige der Liste der Hauptelemente anzuzeigen oder das Passwort eines Hauptelements zu ändern. Das SEAM-Tool können Sie trotz eingeschränkter Kerberos-Admininistratorberechtigungen verwenden. Einige Komponenten des SEAM-Tools ändern sich jedoch in Abhängigkeit davon, über welche Kerberos-Administratorberechtigungen Sie nicht verfügen. Tabelle 25-6 zeigt, wie sich das SEAM-Tool in Abhängigkeit von Ihren Kerberos-Administratorberechtigungen ändert.

Die offensichtlichste Änderung des SEAM-Tools erfolgt, wenn Sie nicht über die Berechtigung zum Anzeigen von Listen verfügen. Ohne die Berechtigung zum Anzeigen von Listen werden in den Listenbereichen keine Listen mit den zu bearbeitenden Hauptelementen und Richtlinien angezeigt. Stattdessen müssen Sie im Feld "Name" der Listenbereiche ein Hauptelement oder eine Richtlinie angeben, das bzw. die Sie bearbeiten möchten.

Wenn Sie sich ohne ausreichende Berechtigungen zum Ausführen von Ausgaben beim SEAM-Tool anmelden, wird die folgende Meldung angezeigt und Sie werden zurück zum Anmeldefenster für die SEAM-Administration geführt:

Insufficient privileges to use gkadmin: ADMCIL. Please try using another principal.

Informationen zum Ändern der Berechtigungen für ein Hauptelement zur Verwaltung der Kerberos-Datenbank finden Sie unter So ändern Sie die Kerberos-Administratorberechtigungen.

Tabelle 25-6 Verwenden des SEAM-Tools mit eingeschränkten Kerberos-Administratorberechtigungen

Fehlende Berechtigung
Änderung am SEAM-Tool
a (hinzufügen)
Die Schaltflächen "Create New" (Neu erstellen) und "Duplicate" (Duplizieren) sind in den Listenbereichen für Hauptelemente und Richtlinien nicht verfügbar. Ohne die Berechtigung zum Hinzufügen können Sie keine neuen Hauptelemente oder Richtlinien erstellen oder duplizieren.
d (löschen)
Die Schaltfläche "Delete" (Löschen) ist in den Listenbereichen für Hauptelemente und Richtlinien nicht verfügbar. Ohne die Berechtigung zum Löschen können Sie keine Hauptelemente oder Richtlinien löschen.
m (ändern)
Die Schaltfläche "Modify" (Ändern) ist in den Listenbereichen für Hauptelemente und Richtlinien nicht verfügbar. Ohne die Berechtigung zum Ändern können Sie keine Hauptelemente oder Richtlinien ändern.

Ebenso können Sie kein Passwort eines Hauptelements ändern, wenn die Schaltfläche "Modify" (Ändern) nicht verfügbar ist, auch wenn Sie über die Berechtigung zum Ändern von Passwörtern verfügen.
c (Passwort ändern)
Das Feld "Password" (Passwort) des Fensterbereichs "Principal Basics" (Grundeinstellungen für Hauptelement) ist schreibgeschützt und kann somit nicht geändert werden. Ohne die Berechtigung zum Ändern des Passworts können Sie keine Passwörter von Hauptelementen ändern.

Selbst wenn Sie über die Berechtigung zum Ändern des Passworts verfügen, benötigen Sie ebenfalls die Berechtigung zum Ändern der Hauptelemente und Richtlinien, um das Passwort eines Hauptelements zu ändern.
i (Datenbankabfrage)
Die Schaltflächen "Modify" (Ändern) und "Duplicate" (Duplizieren) sind in den Listenbereichen für Hauptelemente und Richtlinien nicht verfügbar. Ohne die Berechtigung zum Senden von Abfragen können Sie keine Hauptelemente oder Richtlinien ändern oder duplizieren.

Ebenso können Sie kein Passwort eines Hauptelements ändern, wenn die Schaltfläche "Modify" (Ändern) nicht verfügbar ist, auch wenn Sie über die Berechtigung zum Ändern von Passwörtern verfügen.
l (Liste)
Die Liste der Hauptelemente und Richtlinien ist in den Listenbereichen nicht verfügbar. Ohne die Berechtigung zum Anzeigen von Listen müssen Sie im Feld "Name" der Listenbereiche das Hauptelement oder die Richtlinie angeben, das bzw. die Sie bearbeiten möchten.
Copyright © 2002, 2011, Oracle und/oder verbundene Unternehmen. Alle Rechte vorbehalten. Rechtlicher Hinweis
Zurück Vor