Verwalten von Kerberos-Hauptelementen

Dieser Abschnitt enthält schrittweise Anleitungen zur Verwaltung von Hauptelementen mit dem SEAM-Tool. Außerdem werden Beispiele für Befehlszeitenäquivalente aufgeführt (sofern vorhanden).

Verwalten von Kerberos-Hauptelementen (Übersicht der Schritte)

Automatisieren der Erstellung neuer Kerberos-Hauptelemente

Obwohl das SEAM-Tool einfach zu verwenden ist, bietet es keine Möglichkeit zur Automatisierung der Erstellung neuer Hauptelemente. Die Automatisierung ist besonders dann hilfreich, wenn Sie innerhalb kurzer Zeit zehn oder sogar 100 neue Hauptelemente hinzufügen müssen. Dies können Sie durch Ausführen des Befehls kadmin.local in einem Bourne-Shell-Skript erreichen.

Die folgende Zeile eines Shell-Skripts ist ein Beispiel für die Automatisierung der Erstellung neuer Hauptelemente:

awk '{ print "ank +needchange -pw", $2, $1 }' < /tmp/princnames | 
        time /usr/sbin/kadmin.local> /dev/null

Zur besseren Lesbarkeit ist dieses Beispiel in zwei Zeilen aufgeteilt. Das Skript liest in einer Datei namens princnames, die Hauptelementnamen und die dazugehörigen Passwörter enthält, und fügt diese der Kerberos-Datenbank hinzu. Sie müssen die Datei princnames erstellen, die einen Hauptelementnamen und das dazugehörige Passwort in jeder Zeile enthält, getrennt durch mindestens ein Leerzeichen. Die Option +needchange konfiguriert das Hauptelement so, dass der Benutzer während der ersten Anmeldung beim Hauptelement zur Angabe eines neuen Passworts aufgefordert wird. Dadurch wird sichergestellt, dass die Passwörter in der Datei princnames kein Sicherheitsrisiko darstellen.

Sie können ausführlichere Skripte erstellen. Beispiel: Ihr Skript könnte die Informationen im Name Service verwenden, um die Liste der Benutzernamen für die Hauptelementnamen abzurufen. Welche Schritte Sie ausführen, und auf welche Weise, hängt von den Anforderungen Ihrer Site und Ihren Scripting-Kenntnissen ab.

So zeigen Sie die Liste der Kerberos-Hauptelemente an

Im Anschluss an dieses Verfahren wird ein Beispiel des Befehlszeilenäquivalents gezeigt.

1. Starten Sie bei Bedarf das SEAM-Tool.

   Weitere Informationen finden Sie unter So starten Sie das SEAM-Tool.

   $ /usr/sbin/gkadmin

2. Klicken Sie auf die Registerkarte "Principals" (Hauptelemente).

   Die Liste der Hauptelemente wird angezeigt.

   
   
3. Zeigen Sie ein bestimmtes Hauptelement oder eine Teilliste von Hauptelementen an.

   Geben Sie eine Filterzeichenfolge in das Feld "Filter" ein und drücken Sie die Eingabetaste. Bei erfolgreicher Anwendung des Filters wird die Liste der Hauptelemente angezeigt, die diesem Filter entsprechen.

   Die Filterzeichenfolge muss mindestens ein Zeichen umfassen. Da beim Filtermechanismus zwischen Groß- und Kleinschreibung unterschieden wird, müssen Sie die entsprechenden Groß- und Kleinbuchstaben für den Filter verwenden. Beispiel: Wenn Sie die Filterzeichenfolge ge eingeben, zeigt der Filtermechanismus nur die Hauptelemente an, die die Zeichenfolge ge enthalten (zum Beispiel george oder edge).

   Zum Anzeigen der gesamten Liste der Hauptelemente klicken Sie auf "Clear Filter" (Filter löschen).

Beispiel 25-1 Anzeigen der Liste der Kerberos-Hauptelemente (Befehlszeile)

Im folgenden Beispiel werden mit dem Befehl list_principals von kadmin alle Hauptelemente aufgelistet, die kadmin* entsprechen. In Verbindung mit dem Befehl list_principals können auch Platzhalter verwendet werden.

kadmin: list_principals kadmin*
kadmin/changepw@EXAMPLE.COM
kadmin/kdc1.example.con@EXAMPLE.COM
kadmin/history@EXAMPLE.COM
kadmin: quit

So zeigen Sie die Attribute eines Kerberos-Hauptelements an

Im Anschluss an dieses Verfahren wird ein Beispiel des Befehlszeilenäquivalents gezeigt.

1. Starten Sie bei Bedarf das SEAM-Tool.

   Weitere Informationen finden Sie unter So starten Sie das SEAM-Tool.

   $ /usr/sbin/gkadmin

2. Klicken Sie auf die Registerkarte "Principals" (Hauptelemente).
3. Wählen Sie das anzuzeigende Hauptelement in der Liste und klicken Sie auf "Modify" (Ändern).

   Der Fensterbereich "Principal Basics" (Grundeinstellungen für Hauptelement) mit einigen Attributen des Hauptelements wird angezeigt.

4. Klicken Sie auf "Next" (Weiter), um alle Attribute des Hauptelements anzuzeigen.

   Es sind drei Fenster mit Attributinformationen vorhanden. Wählen Sie im Menü "Help" (Hilfe) die Option "Context-Sensitive Help" (Kontextbezogene Hilfe), um Informationen zu den verschiedenen Attributen in jedem Fenster abzurufen. Beschreibungen zu allen Attributen des Hauptelements finden Sie unter Beschreibungen der SEAM-Tool-Fensterbereiche.

5. Wenn Sie mit der Anzeige fertig sind, klicken Sie auf "Cancel" (Abbrechen).

Beispiel 25-2 Anzeigen der Attribute eines Kerberos-Hauptelements

Im folgenden Beispiel sehen Sie das erste Fenster bei Anzeige des Hauptelements JDB/admin.

Beispiel 25-3 Anzeigen der Attribute eines Kerberos-Hauptelements (Befehlszeile)

Im folgenden Beispiel werden mit dem Befehl get_principal von kadmin die Attribute des Hauptelements jdb/admin angezeigt.

kadmin: getprinc jdb/admin
Principal: jdb/admin@EXAMPLE.COM

Expiration date: [never]
Last password change: [never]

Password expiration date: Wed Apr 14 11:53:10 PDT 2011
Maximum ticket life: 1 day 16:00:00
Maximum renewable life: 1 day 16:00:00
Last modified: Mon Sep 28 13:32:23 PST 2009 (host/admin@EXAMPLE.COM)
Last successful authentication: [never]
Last failed authentication: [never]
Failed password attempts: 0
Number of keys: 1
Key: vno 1, AES-256 CTS mode with 96-bit SHA-1 HMAC, no salt
Key: vno 1, AES-128 CTS mode with 96-bit SHA-1 HMAC, no salt
Key: vno 1, Triple DES with HMAC/sha1, no salt
Key: vno 1, ArcFour with HMAC/md5, no salt
Key: vno 1, DES cbc mode with RSA-MD5, no salt
Attributes: REQUIRES_HW_AUTH
Policy: [none]
kadmin: quit

So erstellen Sie ein neues Kerberos-Hauptelement

Im Anschluss an dieses Verfahren wird ein Beispiel des Befehlszeilenäquivalents gezeigt.

1. Starten Sie bei Bedarf das SEAM-Tool.

   Weitere Informationen finden Sie unter So starten Sie das SEAM-Tool.

   ---

   Hinweis - Wenn Sie ein neues Hauptelement erstellen, das gegebenenfalls eine neue Richtlinie benötigt, sollten Sie die neue Richtlinie vor dem neuen Hauptelement erstellen. Weitere Informationen finden Sie unter So erstellen Sie eine neue Kerberos-Richtlinie.

   ---

   $ /usr/sbin/gkadmin

2. Klicken Sie auf die Registerkarte "Principals" (Hauptelemente).
3. Klicken Sie auf "New" (Neu).

   Der Fensterbereich "Principal Basics" (Grundeinstellungen für Hauptelement) mit einigen Attributen für ein Hauptelement wird angezeigt.

4. Geben Sie einen Hauptelementnamen und ein Passwort an.

   Die Angabe des Hauptelementnamens und des Passworts ist obligatorisch.

5. Geben Sie die Verschlüsselungstypen für das Hauptelement an.

   Klicken Sie auf das Kontrollkästchen rechts neben dem Feld der Verschlüsselungsschlüsseltypen, um ein neues Fenster mit allen verfügbaren Verschlüsselungsschlüsseltypen zu öffnen. Klicken Sie nach Auswahl der erforderlichen Verschlüsselungstypen auf "OK".

   
   
6. Geben Sie die Richtlinie für das Hauptelement an.
7. Geben Sie Werte für die Attribute des Hauptelements an. Klicken Sie anschließend auf "Next" (Weiter), um weitere Attribute anzugeben.

   Es sind drei Fenster mit Attributinformationen vorhanden. Wählen Sie im Menü "Help" (Hilfe) die Option "Context-Sensitive Help" (Kontextbezogene Hilfe), um Informationen zu den verschiedenen Attributen in jedem Fenster abzurufen. Beschreibungen zu allen Attributen des Hauptelements finden Sie unter Beschreibungen der SEAM-Tool-Fensterbereiche.

8. Klicken Sie auf "Save" (Speichern), um das Hauptelement zu speichern, oder im letzten Fensterbereich auf "Done" (Fertig).
9. Richten Sie bei Bedarf Kerberos-Administratorberechtigungen für das neue Hauptelement in der Datei /etc/krb5/kadm5.acl ein.

   Weitere Informationen finden Sie unter So ändern Sie die Kerberos-Administratorberechtigungen.

Beispiel 25-4 Erstellen eines neuen Kerberos-Hauptelements

Das folgende Beispiel zeigt den Fensterbereich für die Grundeinstellungen des Hauptelements bei der Erstellung eines neuen Hauptelements namens pak. Für die Richtlinie ist testuser festgelegt.

Beispiel 25-5 Erstellen eines neuen Kerberos-Hauptelements (Befehlszeile)

Im folgenden Beispiel wird mit dem Befehl add_principal von kadmin ein neues Hauptelement namens pak erstellt. Für die Richtlinie des Hauptelements ist testuser festgelegt.

kadmin: add_principal -policy testuser pak
Enter password for principal "pak@EXAMPLE.COM": <Type the password>
Re-enter password for principal "pak@EXAMPLE.COM": <Type the password again>
Principal "pak@EXAMPLE.COM" created.
kadmin: quit

So duplizieren Sie ein Kerberos-Hauptelement

Dieses Verfahren erläutert, wie mithilfe einiger oder aller Attribute eines vorhandenen Hauptelements ein neues Hauptelement erstellt wird. Für dieses Verfahren ist kein Befehlszeilenäquivalent vorhanden.

1. Starten Sie bei Bedarf das SEAM-Tool.

   Weitere Informationen finden Sie unter So starten Sie das SEAM-Tool.

   $ /usr/sbin/gkadmin

2. Klicken Sie auf die Registerkarte "Principals" (Hauptelemente).
3. Wählen Sie das zu duplizierende Hauptelement in der Liste und klicken Sie auf "Duplicate" (Duplizieren).

   Der Fensterbereich "Principal Basics" (Grundeinstellungen für Hauptelement) wird angezeigt. Alle Attribute des ausgewählten Hauptelements werden dupliziert, außer den leeren Felder für Hauptelementname und Passwort.

4. Geben Sie einen Hauptelementnamen und ein Passwort an.

   Die Angabe des Hauptelementnamens und des Passworts ist obligatorisch. Um ein exaktes Duplikat des ausgewählten Hauptelements zu erstellen, klicken Sie auf "Save" (Speichern) und fahren Sie mit Schritt 7 fort.

5. Geben Sie verschiedene Werte für die Attribute des Hauptelements an. Klicken Sie anschließend auf "Next" (Weiter), um weitere Attribute anzugeben.

   Es sind drei Fenster mit Attributinformationen vorhanden. Wählen Sie im Menü "Help" (Hilfe) die Option "Context-Sensitive Help" (Kontextbezogene Hilfe), um Informationen zu den verschiedenen Attributen in jedem Fenster abzurufen. Beschreibungen zu allen Attributen des Hauptelements finden Sie unter Beschreibungen der SEAM-Tool-Fensterbereiche.

6. Klicken Sie auf "Save" (Speichern), um das Hauptelement zu speichern, oder im letzten Fensterbereich auf "Done" (Fertig).
7. Richten Sie bei Bedarf Kerberos-Administratorberechtigungen für das Hauptelement in der Datei /etc/krb5/kadm5.acl ein.

   Weitere Informationen finden Sie unter So ändern Sie die Kerberos-Administratorberechtigungen.

So ändern Sie ein Kerberos-Hauptelement

Im Anschluss an dieses Verfahren wird ein Beispiel des Befehlszeilenäquivalents gezeigt.

1. Starten Sie bei Bedarf das SEAM-Tool.

   Weitere Informationen finden Sie unter So starten Sie das SEAM-Tool.

   $ /usr/sbin/gkadmin

2. Klicken Sie auf die Registerkarte "Principals" (Hauptelemente).
3. Wählen Sie das zu ändernde Hauptelement in der Liste und klicken Sie auf "Modify" (Ändern).

   Der Fensterbereich "Principal Basics" (Grundeinstellungen für Hauptelement) mit einigen Attributen für das Hauptelement wird angezeigt.

4. Ändern Sie die Attribute des Hauptelements. Klicken Sie anschließend auf "Next" (Weiter), um weitere Attribute zu ändern.

   Es sind drei Fenster mit Attributinformationen vorhanden. Wählen Sie im Menü "Help" (Hilfe) die Option "Context-Sensitive Help" (Kontextbezogene Hilfe), um Informationen zu den verschiedenen Attributen in jedem Fenster abzurufen. Beschreibungen zu allen Attributen des Hauptelements finden Sie unter Beschreibungen der SEAM-Tool-Fensterbereiche.

   ---

   Hinweis - Der Name eines Hauptelements kann nicht geändert werden. Zum Unbenennen eines Hauptelements müssen Sie das Hauptelement duplizieren, neu benennen, speichern und anschließend das alte Hauptelement löschen.

   ---

5. Klicken Sie auf "Save" (Speichern), um das Hauptelement zu speichern, oder im letzten Fensterbereich auf "Done" (Fertig).
6. Ändern Sie die Kerberos-Administratorberechtigungen für das Hauptelement in der Datei /etc/krb5/kadm5.acl.

   Weitere Informationen finden Sie unter So ändern Sie die Kerberos-Administratorberechtigungen.

Beispiel 25-6 Ändern des Passworts eines Kerberos-Hauptelements (Befehlszeile)

Im folgenden Beispiel wird mit dem Befehl change_password von kadmin das Passwort für das Hauptelement jdb geändert. Mit dem Befehl change_password können Sie das Passwort nicht in ein Passwort ändern, das sich bereits im Passwortverlauf des Hauptelements befindet.

kadmin: change_password jdb
Enter password for principal "jdb": <Type the new password>
Re-enter password for principal "jdb": <Type the password again>
Password for "jdb@EXAMPLE.COM" changed.
kadmin: quit

Zum Ändern weiterer Attribute eines Hauptelements müssen Sie den Befehl modify_principal von kadmin verwenden.

So löschen Sie ein Kerberos-Hauptelement

Im Anschluss an dieses Verfahren wird ein Beispiel des Befehlszeilenäquivalents gezeigt.

1. Starten Sie bei Bedarf das SEAM-Tool.

   Weitere Informationen finden Sie unter So starten Sie das SEAM-Tool.

   $ /usr/sbin/gkadmin

2. Klicken Sie auf die Registerkarte "Principals" (Hauptelemente).
3. Wählen Sie das zu löschende Hauptelement in der Liste und klicken Sie auf "Delete" (Löschen).

   Nach Bestätigung der Löschung wird das Hauptelement gelöscht.

4. Entfernen Sie das Hauptelement aus der ACL-Datei (Access Control List, Zugriffssteuerungsliste) von Kerberos (/etc/krb5/kadm5.acl).

   Weitere Informationen finden Sie unter So ändern Sie die Kerberos-Administratorberechtigungen.

Beispiel 25-7 Löschen eines Kerberos-Hauptelements (Befehlszeile)

Im folgenden Beispiel wird mit dem Befehl delete_principal von kadmin das Hauptelement jdb gelöscht.

kadmin: delete_principal pak
Are you sure you want to delete the principal "pak@EXAMPLE.COM"? (yes/no): yes
Principal "pak@EXAMPLE.COM" deleted.
Make sure that you have removed this principal from all ACLs before reusing.
kadmin: quit

So richten Sie Standardwerte zur Erstellung neuer Kerberos-Hauptelemente ein

Für dieses Verfahren ist kein Befehlszeilenäquivalent vorhanden.

1. Starten Sie bei Bedarf das SEAM-Tool.

   Weitere Informationen finden Sie unter So starten Sie das SEAM-Tool.

   $ /usr/sbin/gkadmin

2. Wählen Sie im Menü "Edit" (Bearbeiten) die Option "Properties" (Eigenschaften).

   Das Fenster "Properties" (Eigenschaften) wird angezeigt.

   
   
3. Wählen Sie die zur Erstellung neuer Hauptelemente zu verwendenden Standardwerte.

   Wählen Sie im Menü "Hilfe" die Option "Kontextbezogene Hilfe", um Informationen zu den verschiedenen Attributen in jedem Fenster abzurufen.

4. Klicken Sie auf "Speichern".

So ändern Sie die Kerberos-Administratorberechtigungen

Auch wenn Ihre Site vermutlich viele Benutzer-Hauptelemente aufweist, möchten Sie üblicherweise nur einigen Benutzern ermöglichen, die Kerberos-Datenbank zu verwalten. Die Berechtigungen für die Verwaltung der Kerberos-Datenbank werden in der ACL-Datei (.kadm5.acl) von Kerberos bestimmt. Mithilfe der Datei kadm5.acl können Sie Berechtigungen für einzelne Hauptelemente erteilen oder zurücknehmen. Alternativ können Sie mit dem Platzhalter '*' im Hauptelementnamen Berechtigungen für Gruppen von Hauptelementen festlegen.

1. Melden Sie sich als Superuser beim Master-KDC an.
2. Bearbeiten Sie die Datei /etc/krb5/kadm5.acl .

   Einträge in der Datei kadm5.acl müssen folgendes Format aufweisen:

   principal privileges [principal-target]

   
   

   principal Gibt das Hauptelement an, für das die Berechtigungen erteilt werden. Der Platzhalter '*' kann in jedem Teil des Hauptelementnamens enthalten sein. Dies ist bei der Erteilung derselben Berechtigungen für eine Gruppe von Hauptelementen hilfreich. Beispiel: Um alle Hauptelemente mit der Instanz admin anzugeben, verwenden Sie */admin@Bereich. Die Instanz admin wird häufig verwendet, um separate Berechtigungen (wie beispielsweise Administratorzugriff auf die Kerberos-Datenbank) für ein separates Kerberos-Hauptelement zu erteilen. Beispiel: Der Benutzer jdb verfügt möglicherweise über ein Hauptelement namens jdb/admin für die administrative Nutzung. In diesem Fall erhält der Benutzer jdb nur dann Tickets für jdb/admin, wenn er diese Berechtigungen auch tatsächlich verwenden muss. privileges Gibt an, welche Vorgänge vom Hauptelement ausgeführt werden können und welche nicht. Dieses Feld besteht aus einer Zeichenfolge aus mindestens einem Zeichen der folgenden Liste oder den jeweiligen Zeichen in Großbuchstaben. Ist das Zeichen ein Großbuchstabe (oder nicht angegeben), wurde der Vorgang abgelehnt. Ist das Zeichen ein Kleinbuchstabe, wurde der Vorgang zugelassen. a Erlaubt das Hinzufügen von Hauptelementen oder Richtlinien [nicht]. d Erlaubt das Löschen von Hauptelementen oder Richtlinien [nicht]. m Erlaubt das Ändern von Hauptelementen oder Richtlinien [nicht]. c Erlaubt das Ändern von Passwörtern für Hauptelemente [nicht]. i Erlaubt Abfragen in der Kerberos-Datenbank [nicht]. l Erlaubt das Auflisten von Hauptelementen oder Richtlinien in der Kerberos-Datenbank [nicht]. x oder * Gewährt alle Berechtigungen (admcil). principal-target Wenn in diesem Feld ein Hauptelement angegeben ist, werden die privileges nur dann dem principal zugewiesen, wenn principal auf dem principal-target aktiv ist. Der Platzhalter '*' kann in jedem Teil des Hauptelementnamens enthalten sein. Dies ist hilfreich für die Gruppierung von Hauptelementen.

Beispiel 25-8 Ändern der Kerberos-Administratorberechtigungen

Mit folgendem Eintrag in der Datei kadm5.acl werden jedem Hauptelement im Bereich EXAMPLE.COM mit der Instanz admin alle Berechtigungen für die Kerberos-Datenbank erteilt:

*/admin@EXAMPLE.COM *

Mit folgendem Eintrag in der Datei kadm5.acl werden dem Hauptelement jdb@EXAMPLE.COM die Berechtigungen zum Hinzufügen und Auflisten sowie für Abfragen zu jedem Hauptelement mit der Instanz root erteilt.

jdb@EXAMPLE.COM ali */root@EXAMPLE.COM