Référence de l'Outil SEAM
Cette section fournit les descriptions de chaque panneau de l'Outil SEAM .
En outre, des d'informations sur l'utilisation de privilèges limités avec l'Outil
SEAM sont fournies.
Descriptions des panneaux de l'Outil SEAM
Cette section fournit des descriptions pour chaque attribut de principal et de
stratégie que vous pouvez spécifier ou afficher dans l'outil SEAM. Les attributs
sont organisés par le panneau dans lequel ils sont affichés.
Tableau 25-2 Attributs pour le panneau Principal Basics de l'Outil SEAM
|
|
Nom du
principal |
Nom du principal (qui est la partie primary/ instance d'un nom complet de
principal). Un principal est une identité unique à laquelle le KDC
peut affecter les tickets. Si vous modifiez un principal, vous ne pouvez
pas modifier son nom. |
Password (Mot de passe) |
Mot de passe du principal.
Vous pouvez utiliser le bouton Generate Random Password (Générer un mot de
passe aléatoire) pour créer un mot de passe aléatoire pour le principal.
|
Policy (Stratégie) |
Menu des stratégies disponibles pour le principal. |
Account Expires (Expiration du
compte) |
Date et heure d'expiration du compte principal. Lorsque le compte expire, le
principal ne peut plus obtenir un ticket d'octroi de tickets (TGT) et
peut être incapable de se connecter. |
Last Principal Change (Dernière modification de
principal) |
Date à laquelle les informations du principal ont été modifiées pour
la dernière fois. (Lecture seule) |
Last Changed By (Dernière modification par) |
Nom du principal
qui a modifié en dernier le compte de ce principal. (Lecture seule) |
Comments
(Commentaires) |
Commentaires liés au principal (par exemple, « compte temporaire »). |
|
Tableau 25-3 Attributs pour le panneau Principal Details de l'Outil SEAM
|
|
Last Success (Dernier succès) |
Date et
heure de la dernière connexion réussie du principal. (Lecture seule) |
Last Failure (Dernier
échec) |
Date et heure du dernier échec de connexion du principal. (Lecture seule) |
Failure
Count (Nombre d'échecs) |
Nombre de fois où une erreur de connexion s'est produite
pour le principal. (Lecture seule) |
Last Password Change (Dernière modification du mot de
passe) |
Date et heure auxquelles le mot de passe du principal a été
modifié pour la dernière fois. (Lecture seule) |
Password Expires (Date d'expiration du mot
de passe) |
Date et heure auxquelles le mot de passe actuel du principal
expire. |
Key Version (Version de la clé) |
Numéro de version de la clé pour
le principal. Cet attribut n'est généralement modifié que quand le mot de
passe est compromis. |
Maximum Lifetime (seconds) (Durée de vie maximale (en secondes)) |
Durée maximale
pour laquelle un ticket peut être accordé au principal (sans renouvellement). |
Maximum Renewal
(seconds) (Renouvellement maximal (en secondes)) |
Durée maximale pendant laquelle un ticket peut être
renouvelé pour le principal. |
|
Tableau 25-4 Attributs du panneau Principal Flags (Indicateur de principal) de l'Outil SEAM
|
|
Disable Account (Désactiver un compte) |
Lorsqu'elle est
sélectionnée, cette option empêche le principal de se connecter. Cet attribut fournit
un moyen facile de geler temporairement un compte principal. |
Require Password Change
(Exiger la modification du mot de passe) |
Lorsque cette option est sélectionnée, l'option
fait expirer le mot de passe en cours du principal, ce qui
oblige l'utilisateur à utiliser la commande kpasswd pour créer un nouveau mot
de passe. Cet attribut est utile si une violation de la sécurité
se produit et que vous devez vous assurer que les anciens mots
de passe sont remplacés. |
Allow Postdated Tickets (Autoriser les tickets postdatés) |
Lorsqu'elle est
sélectionnée, cette option permet au principal d'obtenir des tickets postdatés. Par
exemple, vous pouvez avoir besoin d'utiliser des tickets postdatés pour les tâches
de cron qui doivent s'exécuter après les heures de bureau, mais vous
ne pouvez pas obtenir de tickets en avance en raison de courtes
durées de vie de tickets. |
Allow Forwardable Tickets (Autoriser les tickets transmissibles) |
Lorsqu'elle
est sélectionnée, cette option permet au principal d'obtenir des tickets transmissibles. Les
tickets transmissibles sont des tickets qui sont transmis à l'hôte distant pour
fournir une session à connexion unique. Par exemple, si vous utilisez des
tickets transmissibles et que vous authentifiez via ftp ou rsh, d'autres services,
tels que les services NFS, sont alors disponibles sans que vous soyez
invité à saisir un autre mot de passe. |
Allow Renewable Tickets (Autoriser
les tickets renouvelables) |
Lorsqu'elle est sélectionnée, cette option permet au principal d'obtenir des
tickets renouvelables. Un principal peut étendre automatiquement la date d'expiration ou le
temps qu'un ticket peut être renouvelable (plutôt que d'avoir à obtenir un
nouveau ticket une fois que le premier ticket arrive à expiration).
Actuellement, le service NFS est le service de ticket qui peut renouveler
les tickets. |
Allow Proxiable Tickets (Autoriser les tickets utilisables avec proxy) |
Lorsqu'elle est
sélectionnée, cette option permet au principal d'obtenir des tickets utilisables avec proxy.
Un ticket utilisable avec proxy est un ticket qui peut être utilisé
par un service pour le compte d'un client afin d'effectuer une opération
pour ce dernier. Avec un ticket utilisable avec proxy, un service peut
prendre l'identité d'un client et obtenir un ticket pour un autre service.
Toutefois, le service ne peut pas obtenir de ticket d'octroi de tickets
(TGT). |
Allow Service Tickets (Autoriser les tickets de service) |
Lorsqu'elle est sélectionnée,
cette option permet aux tickets de service d'être émis pour le principal.
Vous ne devez pas autoriser les tickets de service à être émis
pour les principaux kadmin/hostname et changepw/ hostname. Cette pratique permet de s'assurer que
seuls ces principaux peuvent mettre à jour la base de données KDC.
|
Allow TGT-Based Authentication (Autoriser l'authentification par TGT) |
Lorsque cette option est sélectionnée, le
principal de service est autorisé à fournir des services à un autre
principal. Plus précisément, cet attribut autorise le KDC à émettre un ticket
de service pour le service principal. Cet attribut est uniquement valable pour
les principaux de service. Lorsque ce bouton n'est pas coché, les tickets
de service ne peuvent pas être émis pour le principal de service.
|
Allow Duplicate Authentication (Autoriser la duplication d'authentification) |
Lorsqu'elle est sélectionnée, cette option autorise
le principal d'utilisateur à obtenir des tickets de service pour d'autres principaux
d'utilisateur. Cet attribut est uniquement valide pour les principaux d'utilisateur. Si cette
option n'est pas sélectionnée, le principal d'utilisateur peut toujours obtenir des tickets
de service pour les principaux de service, mais pas pour d'autres principaux
d'utilisateur. |
Required Preauthentication (Pré-authentification requise) |
Lorsque cette option est sélectionnée, le KDC n'envoie
pas le ticket d'octroi de tickets (TGT) demandé au principal jusqu'à ce
que le KDC puisse authentifier (par le biais d'un logiciel) que le
principal est bien celui qui demande le ticket. Cette pré-authentification est généralement
effectuée par le biais d'un mot de passe supplémentaire, par exemple, à
partir d'une carte DES. Si elle n'est pas sélectionnée, le KDC n'a
pas besoin de pré-authentifier le principal avant que le KDC lui envoie
un TGT demandé. |
Required Hardware Authentication (Authentification matérielle requise) |
Lorsque cette option est
sélectionnée, le KDC n'envoie pas le ticket d'octroi de tickets (TGT) demandé
au principal jusqu'à ce que le KDC puisse authentifier (par le biais
d'un matériel) que le principal est bien celui qui demande le ticket.
La pré-authentification matérielle peut se produire, par exemple, sur un lecteur d'anneau
Java. Si elle n'est pas sélectionnée, le KDC n'a pas besoin de pré-authentifier
le principal avant que le KDC lui envoie un TGT demandé. |
|
Tableau 25-5 Attributs pour le panneau Policy Basics de l'Outil SEAM
|
|
Nom
de la stratégie |
Nom de la stratégie. Une stratégie est un ensemble
de règles qui régissent le mot de passe et les tickets d'un
principal. Si vous modifiez une stratégie, vous ne pouvez pas modifier son
nom. |
Minimum Password Length (Longueur minimale de mot de passe) |
Longueur minimale du
mot de passe du principal. |
Minimum Password Classes (Nombre minimal de classes
de mot de passe) |
Nombre minimal de types de caractères différents qui sont
requis dans le mot de passe du principal. Par exemple, une valeur
de classes minimales de 2 signifie que le mot de passe doit
comporter au moins deux types de caractères différents, tels que des lettres
et des chiffres (hi2mom). Une valeur de 3 signifie que le
mot de passe doit comporter au moins trois types de caractères différents,
comme des lettres, des chiffres et des signes de ponctuation (hi2mom!). Et
ainsi de suite... Une valeur de 1 définit signifie l'absence de restriction
sur le nombre de types de caractères de mot de passe. |
Saved
Password History (Historique de mots de passe enregistrés) |
Nombre de mots de passe
précédents qui ont été utilisés par le principal et liste des mots
de passe précédents ne pouvant plus être utilisés. |
Minimum Password Lifetime (seconds)
(Durée de vie minimale du mot de passe (en secondes)) |
Période minimale pendant
laquelle le mot de passe doit être utilisé avant de pouvoir être
changé. |
Maximum Password Lifetime (seconds) (Durée de vie maximale du mot de
passe (en secondes)) |
Période maximale pendant laquelle le mot de passe peut être
utilisé avant de devoir être changé. |
Principals Using This Policy (Principaux utilisant
cette stratégie) |
Nombre de principaux auquel cette stratégie s'applique actuellement. (Lecture seule) |
|
Utilisation de l'Outil SEAM avec privilèges d'administration Kerberos limités
Toutes les fonctions de l'outil SEAM sont disponibles si votre principal admin
dispose de tous les privilèges d'administration de la base de données Kerberos.
Cependant, il se peut que vous ayez des privilèges limités, tels qu'être
seulement autorisé à consulter la liste des principaux ou à modifier le
mot de passe d'un principal. Avec des privilèges d'administration Kerberos limités, vous
pouvez toujours utiliser l'outil SEAM. Cependant, diverses parties de l'outil SEAM changent
en fonction des privilèges d'administration Kerberos dont vous ne disposez pas. Tableau 25-6
montre comment l'outil SEAM change en fonction de vos privilèges d'administration Kerberos.
Le changement le plus visible de l'outil SEAM se produit lorsque vous
ne disposez pas du privilège de liste. Sans le privilège de liste,
les panneaux de listes n'affichent pas la liste des principaux et les
stratégies à manipuler. Au lieu de cela, vous devez utiliser le champ
de nom dans les panneaux de listes pour spécifier un principal ou
une stratégie que vous voulez manipuler.
Si vous vous connectez à l'outil SEAM et que vous ne disposez
pas de privilèges suffisants pour effectuer des tâches avec lui, le message
suivant s'affiche et vous êtes renvoyé à la fenêtre de connexion d'administration
SEAM :
Insufficient privileges to use gkadmin: ADMCIL. Please try using another principal.
Pour modifier les privilèges d'un principal afin qu'il puisse administrer la base
de données Kerberos, reportez-vous à la section Modification des privilèges d'administration Kerberos.
Tableau 25-6 Utilisation de l'outil SEAM avec des privilèges d'administration Kerberos limités
|
|
a (ajouter) |
Les boutons Create New et Duplicate ne sont
pas disponibles dans les panneaux Principal List et Policy List. Sans le
privilège d'ajout, vous ne pouvez pas créer de principaux ou de stratégies,
ni les dupliquer. |
d (supprimer) |
Le bouton Delete n'est pas disponible dans
les panneaux Principal List et Policy List. Sans le privilège de suppression,
vous ne pouvez pas supprimer de principaux ou de stratégies. |
m (modifier)
|
Le bouton Modify n'est pas disponible dans les panneaux Principal List et
Policy List. Sans le privilège de modification, vous ne pouvez pas modifier
de principaux ou de stratégies. En outre, avec le bouton Modify
non disponible, vous ne pouvez pas modifier le mot de passe d'un
principal, même si vous avez le privilège de modification de mot de
passe. |
c (modifier un mot de passe) |
Le champ Password du panneau
Principal Basics est en lecture seule et ne peut pas être modifié.
Sans le privilège de changement de mot de passe, vous ne pouvez
pas modifier le mot de passe d'un principal. Notez que même
si vous avez le privilège changement de mot de passe, vous devez
également avoir le privilège de modification pour modifier le mot de passe
d'un principal. |
i (consultation de base de données) |
Les boutons Modify et
Duplicate ne sont pas disponibles dans les panneaux Principal List et Policy
List. Sans le privilège de consultation, vous ne pouvez pas modifier ou
dupliquer de principaux ou de stratégies. En outre, avec le bouton
Modify non disponible, vous ne pouvez pas modifier le mot de passe
d'un principal, même si vous avez le privilège de modification de mot
de passe. |
l (liste) |
La liste des principaux et des stratégies dans
les panneaux de liste est indisponible. Au lieu de cela, vous devez
utiliser le champ de nom dans les panneaux de listes pour spécifier
un principal ou une stratégie que vous voulez manipuler. |
|