Referencia de la herramienta SEAM
En esta sección, se proporcionan descripciones de cada panel de la herramienta
SEAM. Asimismo, se proporciona información sobre el uso de privilegios limitados
en la herramienta SEAM.
Descripción de los paneles de la herramienta SEAM
En esta sección se ofrece la descripción de todos los atributos de
los principales y las políticas que se pueden especificar o ver en
la herramienta SEAM. Los atributos están organizados según el panel en
el que aparecen.
Tabla 23-2 Atributos del panel Principal Basics de la herramienta SEAM
|
|
Nombre de principal |
El nombre del principal (que es la parte
principal/ de instancia de un nombre de principal completo). Un principal es una
identidad única a la que el KDC puede asignar tickets. Si modifica un
principal, no puede editar su nombre. |
Password |
La contraseña para el principal. Puede
utilizar el botón Generate Random Password para crear una contraseña aleatoria para
el principal. |
Policy |
Un menú de las políticas disponibles para el principal. |
Account Expires |
La fecha
y hora en que caduca la cuenta del principal. Cuando la
cuenta caduque, el principal ya no podrá obtener un ticket de otorgamiento
de tickets (TGT) y quizá no pueda iniciar sesión. |
Last Principal Change |
La
fecha en la que se modificó por última vez la información del
principal. (Sólo lectura) |
Last Changed By |
El nombre del principal que modificó por
última vez la cuenta de este principal. (Sólo lectura) |
Comentarios |
Comentarios relacionados con
el principal (por ejemplo, “Cuenta temporal”). |
|
Tabla 23-3 Atributos del panel de detalles del principal de la herramienta SEAM
|
|
Last Success |
La fecha y hora en que
el principal inició sesión correctamente por última vez. (Sólo lectura) |
Last Failure |
La
fecha y hora en que se produjo un fallo en el inicio
de sesión del principal por última vez. (Sólo lectura) |
Failure Count |
El número
de veces que se produjeron fallos en el inicio de sesión del
principal. (Sólo lectura) |
Last Password Change |
La fecha y la hora en que
se modificó por última vez la contraseña del principal. (Sólo lectura) |
Password
Expires |
La fecha y hora en que caduca la contraseña actual del principal. |
Key
Version |
El número de versión de clave del principal. En general, este
atributo sólo se cambia cuando una contraseña está en peligro. |
Maximum Lifetime (seconds) |
El
período máximo durante el cual un ticket se puede otorgar al principal
(sin renovación). |
Maximum Renewal (seconds) |
El período máximo durante el cual un ticket existente
se puede renovar para el principal. |
|
Tabla 23-4 Atributos del panel de indicadores de principal de la herramienta SEAM
|
|
Disable Account |
Cuando está activado,
impide que el principal inicie sesión. Este atributo proporciona una manera
sencilla de congelar temporalmente una cuenta de principal. |
Require Password Change |
Cuando está activado,
hace que caduque la contraseña actual del principal, lo cual fuerza al
usuario a utilizar el comando kpasswd para crear una contraseña nueva.
Este atributo es útil si se produce una infracción de seguridad y,
como consecuencia, es necesario asegurarse de que se sustituyan las contraseñas antiguas. |
Allow
Postdated Tickets |
Cuando está activado, permite al principal obtener tickets posfechados. Por ejemplo,
es posible que necesite utilizar tickets posfechados para trabajos cron que se
deben ejecutar fuera del horario comercial, pero no pueda obtener los tickets
anticipadamente debido a la corta duración de los tickets. |
Allow Forwardable Tickets |
Cuando está
activado, permite al principal obtener tickets reenviables. Los tickets reenviables son aquellos que
se reenvían al host remoto para proporcionar una sesión de inicio único.
Por ejemplo, si está utilizando tickets reenviables y se autentica a
usted mismo mediante ftp o rsh, otros servicios, como los servicios NFS,
estarán disponibles sin que se le solicite otra contraseña. |
Allow Renewable Tickets |
Cuando está
activado, permite al principal obtener tickets renovables. Un principal puede ampliar automáticamente la
fecha o la hora de caducidad de un ticket renovable (en lugar
de tener que obtener un nuevo ticket una vez que caduca el
primero). Actualmente, el servicio NFS es el servicio de tickets que
puede renovar tickets. |
Allow Proxiable Tickets |
Cuando está activado, permite al principal obtener tickets
que admiten proxy. Un ticket que admite proxy es un ticket que puede
ser utilizado por un servicio en nombre de un cliente para realizar
una operación para el cliente. Con un ticket que admite proxy,
un servicio puede adoptar la identidad de un cliente y obtener un
ticket para otro servicio. Sin embargo, el servicio no puede obtener
un ticket de otorgamiento de tickets (TGT). |
Allow Service Tickets |
Cuando está activado, permite
que se emitan tickets de servicio al principal. No debería permitir que se
emitan tickets de servicio para los principales kadmin/hostname ni changepw/hostname. Esta práctica
garantiza que sólo estos principales puedan actualizar la base de datos KDC. |
Allow
TGT-Based Authentication |
Cuando está activado, permite al principal de servicio proporcionar servicios a
otro principal. Más concretamente, este atributo permite al KDC emitir un
ticket de servicio para el principal de servicio. Este atributo sólo es válido
para los principales de servicio. Cuando no está activado, los tickets
de servicio no se pueden emitir para el principal de servicio. |
Allow Duplicate
Authentication |
Cuando está activado, permite al principal de usuario obtener tickets de servicio
para otros principales de usuario. Este atributo sólo es válido para los principales
de usuario. Cuando no está activado, el principal de usuario aún
puede obtener tickets de servicio para los principales de servicio, pero no
para otros principales de usuario. |
Required Preauthentication |
Cuando está activado, el KDC sólo enviará
un ticket de otorgamiento de tickets (TGT) solicitado al principal una vez
que haya autentificado (mediante el software) que el principal es realmente el
principal que está solicitando el TGT. Esta autenticación previa generalmente se
realiza mediante una contraseña adicional, por ejemplo, de una tarjeta DES. Cuando no
está activado, el KDC no necesita realizar una autenticación previa del principal
antes de enviar un TGT solicitado al principal. |
Required Hardware Authentication |
Cuando está activado,
el KDC sólo enviará un ticket de otorgamiento de tickets (TGT) solicitado
al principal una vez que haya autentificado (mediante el hardware) que el
principal es realmente el principal que está solicitando el TGT. La
autenticación previa del hardware se puede llevar a cabo, por ejemplo, en
un lector de anillos Java. Cuando no está activado, el KDC no necesita
realizar una autenticación previa del principal antes de enviar un TGT solicitado
al principal. |
|
Tabla 23-5 Atributos del panel de características básicas de la política de la herramienta SEAM
|
|
Policy Name |
El nombre de la política. Una política es un
conjunto de reglas que rigen la contraseña y los tickets de un
principal. Si modifica una política, no puede editar su nombre. |
Minimum Password Length |
La longitud
mínima de la contraseña del principal. |
Minimum Password Classes |
El número mínimo de tipos
de caracteres diferentes que se deben utilizar en la contraseña del principal. Por
ejemplo, un valor de clases mínimo de 2 significa que la contraseña
debe tener al menos dos tipos de caracteres diferentes, como letras y
números (hi2mom). Un valor de 3 significa que la contraseña debe
tener al menos tres tipos de caracteres diferentes, como letras, números y
signos de puntuación (hi2mom!). Y así sucesivamente. Un valor de 1
no establece ninguna restricción para el número tipos de caracteres de la
contraseña. |
Saved Password History |
El número de contraseñas anteriores utilizadas por el principal, y
una lista de las contraseñas anteriores que no se pueden volver a
utilizar. |
Minimum Password Lifetime (seconds) |
El período mínimo durante el cual se debe utilizar
una contraseña antes de poder modificarla. |
Maximum Password Lifetime (seconds) |
El período máximo durante
el cual se puede utilizar una contraseña antes de tener que modificarla. |
Principals
Using This Policy |
El número de principales a los que se aplica actualmente
esta política. (Sólo lectura) |
|
Uso de la herramienta SEAM con privilegios de administración de Kerberos limitados
Todas las capacidades de la herramienta SEAM están disponibles si su principal
admin tiene todos los privilegios para administrar la base de datos de
Kerberos. Sin embargo, es posible que tenga privilegios limitados, por ejemplo,
que sólo pueda ver la lista de principales o cambiar la contraseña
de un principal. Con privilegios de administración de Kerberos limitados, aún
puede utilizar la herramienta SEAM. Sin embargo, varias partes de la
herramienta SEAM cambian según los privilegios de administración de Kerberos que no
se tienen. En la Tabla 23-6 se muestra cómo cambia la herramienta
SEAM según los privilegios de administración de Kerberos que se tengan.
El cambio más visual de la herramienta SEAM se produce cuando no
se tiene el privilegio de lista. Sin el privilegio de lista, los
paneles de lista no muestran la lista de principales ni la de
políticas para poder manipularlas. En cambio, debe utilizar el campo Name
de los paneles de lista para especificar el principal o la política
que desea manipular.
Si inicia sesión en la herramienta SEAM y no tiene suficientes privilegios
para realizar tareas en ella, se muestra el siguiente mensaje y se
vuelve a la ventana SEAM Administration Login:
Insufficient privileges to use gkadmin: ADMCIL. Please try using another principal.
Para cambiar los privilegios de un principal para que pueda administrar la
base de datos de Kerberos, vaya a Cómo modificar los privilegios de administración de Kerberos.
Tabla 23-6 Uso de la herramienta SEAM con privilegios de administración de Kerberos limitados
|
|
a (agregar) |
Los botones Create New y Duplicate no están disponibles en
los paneles Principal List y Policy List. Si no tiene el
privilegio para agregar, no puede crear principales ni políticas nuevos, ni duplicarlos. |
d
(suprimir) |
El botón Delete no está disponible en los paneles Principal List ni
Policy List. Si no tiene el privilegio para suprimir, no puede
suprimir principales ni políticas. |
m (modificar) |
El botón Modify no está disponible en los
paneles Principal List ni Policy List. Si no tiene el privilegio
para modificar, no puede modificar principales ni políticas. Además, si el botón
Modify no está disponible, no puede modificar ninguna contraseña de principal, aunque
tenga el privilegio para cambiar contraseñas. |
c (cambiar contraseña) |
El campo Password del panel
Principal Basics es de sólo lectura y no se puede cambiar.
Si no tiene el privilegio para cambiar contraseñas, no puede modificar ninguna
contraseña de principal. Tenga en cuenta que aunque tenga el privilegio para
cambiar contraseñas, para poder cambiar la contraseña de un principal también debe
tener el privilegio para modificar. |
i (consultar la base de datos) |
Los botones Modify
y Duplicate no están disponibles en los paneles Principal List y Policy
List. Si no tiene el privilegio para consultar, no puede modificar
ni duplicar principales ni políticas. Además, si el botón Modify no está
disponible, no puede modificar ninguna contraseña de principal, aunque tenga el privilegio
para cambiar contraseñas. |
l (lista) |
Las listas de principales y políticas de los paneles
de lista no están disponibles. Si no tiene el privilegio de
lista, debe utilizar el campo Name de los paneles de lista para
especificar el principal o la política que desea manipular. |
|