Referencia de la herramienta SEAM

En esta sección, se proporcionan descripciones de cada panel de la herramienta SEAM. Asimismo, se proporciona información sobre el uso de privilegios limitados en la herramienta SEAM.

Descripción de los paneles de la herramienta SEAM

En esta sección se ofrece la descripción de todos los atributos de los principales y las políticas que se pueden especificar o ver en la herramienta SEAM. Los atributos están organizados según el panel en el que aparecen.

Tabla 23-2 Atributos del panel Principal Basics de la herramienta SEAM

Atributo	Descripción
Principal Name	El nombre del principal (que es la parte `principal`/`instance` de un nombre de principal completo). Un principal es una identidad única a la que el KDC puede asignar tickets. Si modifica un principal, no puede editar su nombre.
Password	La contraseña para el principal. Puede utilizar el botón Generate Random Password para crear una contraseña aleatoria para el principal.
Policy	Un menú de las políticas disponibles para el principal.
Account Expires	La fecha y hora en que caduca la cuenta del principal. Cuando la cuenta caduque, el principal ya no podrá obtener un ticket de otorgamiento de tickets (TGT) y quizá no pueda iniciar sesión.
Last Principal Change	La fecha en la que se modificó por última vez la información del principal. (Sólo lectura)
Last Changed By	El nombre del principal que modificó por última vez la cuenta de este principal. (Sólo lectura)
Comments	Comentarios relacionados con el principal (por ejemplo, “Cuenta temporal”).

Tabla 23-3 Atributos del panel de detalles del principal de la herramienta SEAM

Atributo	Descripción
Last Success	La fecha y hora en que el principal inició sesión correctamente por última vez. (Sólo lectura)
Last Failure	La fecha y hora en que se produjo un fallo en el inicio de sesión del principal por última vez. (Sólo lectura)
Failure Count	El número de veces que se produjeron fallos en el inicio de sesión del principal. (Sólo lectura)
Last Password Change	La fecha y la hora en que se modificó por última vez la contraseña del principal. (Sólo lectura)
Password Expires	La fecha y hora en que caduca la contraseña actual del principal.
Key Version	El número de versión de clave del principal. En general, este atributo sólo se cambia cuando una contraseña está en peligro.
Maximum Lifetime (seconds)	El período máximo durante el cual un ticket se puede otorgar al principal (sin renovación).
Maximum Renewal (seconds)	El período máximo durante el cual un ticket existente se puede renovar para el principal.

Tabla 23-4 Atributos del panel de indicadores de principal de la herramienta SEAM

Atributo (botones de radio)	Descripción
Disable Account	Cuando está activado, impide que el principal inicie sesión. Este atributo proporciona una manera sencilla de congelar temporalmente una cuenta de principal.
Require Password Change	Cuando está activado, hace que caduque la contraseña actual del principal, lo cual fuerza al usuario a utilizar el comando `kpasswd` para crear una contraseña nueva. Este atributo es útil si se produce una infracción de seguridad y, como consecuencia, es necesario asegurarse de que se sustituyan las contraseñas antiguas.
Allow Postdated Tickets	Cuando está activado, permite al principal obtener tickets posfechados. Por ejemplo, es posible que necesite utilizar tickets posfechados para trabajos `cron` que se deben ejecutar fuera del horario comercial, pero no pueda obtener los tickets anticipadamente debido a la corta duración de los tickets.
Allow Forwardable Tickets	Cuando está activado, permite al principal obtener tickets reenviables. Los tickets reenviables son aquellos que se reenvían al host remoto para proporcionar una sesión de inicio único. Por ejemplo, si está utilizando tickets reenviables y se autentica a usted mismo mediante `ftp` o `rsh`, otros servicios, como los servicios NFS, estarán disponibles sin que se le solicite otra contraseña.
Allow Renewable Tickets	Cuando está activado, permite al principal obtener tickets renovables. Un principal puede ampliar automáticamente la fecha o la hora de caducidad de un ticket renovable (en lugar de tener que obtener un nuevo ticket una vez que caduca el primero). Actualmente, el servicio NFS es el servicio de tickets que puede renovar tickets.
Allow Proxiable Tickets	Cuando está activado, permite al principal obtener tickets que admiten proxy. Un ticket que admite proxy es un ticket que puede ser utilizado por un servicio en nombre de un cliente para realizar una operación para el cliente. Con un ticket que admite proxy, un servicio puede adoptar la identidad de un cliente y obtener un ticket para otro servicio. Sin embargo, el servicio no puede obtener un ticket de otorgamiento de tickets (TGT).
Allow Service Tickets	Cuando está activado, permite que se emitan tickets de servicio al principal. No debería permitir que se emitan tickets de servicio para los principales `kadmin/hostname` ni `changepw/hostname`. Esta práctica garantiza que sólo estos principales puedan actualizar la base de datos KDC.
Allow TGT-Based Authentication	Cuando está activado, permite al principal de servicio proporcionar servicios a otro principal. Más concretamente, este atributo permite al KDC emitir un ticket de servicio para el principal de servicio. Este atributo sólo es válido para los principales de servicio. Cuando no está activado, los tickets de servicio no se pueden emitir para el principal de servicio.
Allow Duplicate Authentication	Cuando está activado, permite al principal de usuario obtener tickets de servicio para otros principales de usuario. Este atributo sólo es válido para los principales de usuario. Cuando no está activado, el principal de usuario aún puede obtener tickets de servicio para los principales de servicio, pero no para otros principales de usuario.
Required Preauthentication	Cuando está activado, el KDC sólo enviará un ticket de otorgamiento de tickets (TGT) solicitado al principal una vez que haya autentificado (mediante el software) que el principal es realmente el principal que está solicitando el TGT. Esta autenticación previa generalmente se realiza mediante una contraseña adicional, por ejemplo, de una tarjeta DES. Cuando no está activado, el KDC no necesita realizar una autenticación previa del principal antes de enviar un TGT solicitado al principal.
Required Hardware Authentication	Cuando está activado, el KDC sólo enviará un ticket de otorgamiento de tickets (TGT) solicitado al principal una vez que haya autentificado (mediante el hardware) que el principal es realmente el principal que está solicitando el TGT. La autenticación previa del hardware se puede llevar a cabo, por ejemplo, en un lector de anillos Java. Cuando no está activado, el KDC no necesita realizar una autenticación previa del principal antes de enviar un TGT solicitado al principal.

Tabla 23-5 Atributos del panel de características básicas de la política de la herramienta SEAM

Atributo	Descripción
Policy Name	El nombre de la política. Una política es un conjunto de reglas que rigen la contraseña y los tickets de un principal. Si modifica una política, no puede editar su nombre.
Minimum Password Length	La longitud mínima de la contraseña del principal.
Minimum Password Classes	El número mínimo de tipos de caracteres diferentes que se deben utilizar en la contraseña del principal. Por ejemplo, un valor de clases mínimo de 2 significa que la contraseña debe tener al menos dos tipos de caracteres diferentes, como letras y números (hi2mom). Un valor de 3 significa que la contraseña debe tener al menos tres tipos de caracteres diferentes, como letras, números y signos de puntuación (hi2mom!). Y así sucesivamente. Un valor de 1 no establece ninguna restricción para el número tipos de caracteres de la contraseña.
Saved Password History	El número de contraseñas anteriores utilizadas por el principal, y una lista de las contraseñas anteriores que no se pueden volver a utilizar.
Minimum Password Lifetime (seconds)	El período mínimo durante el cual se debe utilizar una contraseña antes de poder modificarla.
Maximum Password Lifetime (seconds)	El período máximo durante el cual se puede utilizar una contraseña antes de tener que modificarla.
Principals Using This Policy	El número de principales a los que se aplica actualmente esta política. (Sólo lectura)

Uso de la herramienta SEAM con privilegios de administración de Kerberos limitados

Todas las capacidades de la herramienta SEAM están disponibles si su principal admin tiene todos los privilegios para administrar la base de datos de Kerberos. Sin embargo, es posible que tenga privilegios limitados, por ejemplo, que sólo pueda ver la lista de principales o cambiar la contraseña de un principal. Con privilegios de administración de Kerberos limitados, aún puede utilizar la herramienta SEAM. Sin embargo, varias partes de la herramienta SEAM cambian según los privilegios de administración de Kerberos que no se tienen. En la Tabla 23-6 se muestra cómo cambia la herramienta SEAM según los privilegios de administración de Kerberos que se tengan.

El cambio más visual de la herramienta SEAM se produce cuando no se tiene el privilegio de lista. Sin el privilegio de lista, los paneles de lista no muestran la lista de principales ni la de políticas para poder manipularlas. En cambio, debe utilizar el campo Name de los paneles de lista para especificar el principal o la política que desea manipular.

Si inicia sesión en la herramienta SEAM y no tiene suficientes privilegios para realizar tareas en ella, se muestra el siguiente mensaje y se vuelve a la ventana SEAM Administration Login:

Insufficient privileges to use gkadmin: ADMCIL. Please try using another principal.

Para cambiar los privilegios de un principal para que pueda administrar la base de datos de Kerberos, vaya a Cómo modificar los privilegios de administración de Kerberos.

Tabla 23-6 Uso de la herramienta SEAM con privilegios de administración de Kerberos limitados

Privilegio no permitido	Cómo cambia la herramienta SEAM
`a` (agregar)	Los botones Create New y Duplicate no están disponibles en los paneles Principal List y Policy List. Si no tiene el privilegio para agregar, no puede crear principales ni políticas nuevos, ni duplicarlos.
`d` (suprimir)	El botón Delete no está disponible en los paneles Principal List ni Policy List. Si no tiene el privilegio para suprimir, no puede suprimir principales ni políticas.
`m` (modificar)	El botón Modify no está disponible en los paneles Principal List ni Policy List. Si no tiene el privilegio para modificar, no puede modificar principales ni políticas. Además, si el botón Modify no está disponible, no puede modificar ninguna contraseña de principal, aunque tenga el privilegio para cambiar contraseñas.
`c` (cambiar contraseña)	El campo Password del panel Principal Basics es de sólo lectura y no se puede cambiar. Si no tiene el privilegio para cambiar contraseñas, no puede modificar ninguna contraseña de principal. Tenga en cuenta que aunque tenga el privilegio para cambiar contraseñas, para poder cambiar la contraseña de un principal también debe tener el privilegio para modificar.
`i` (consultar la base de datos)	Los botones Modify y Duplicate no están disponibles en los paneles Principal List y Policy List. Si no tiene el privilegio para consultar, no puede modificar ni duplicar principales ni políticas. Además, si el botón Modify no está disponible, no puede modificar ninguna contraseña de principal, aunque tenga el privilegio para cambiar contraseñas.
`l` (lista)	Las listas de principales y políticas de los paneles de lista no están disponibles. Si no tiene el privilegio de lista, debe utilizar el campo Name de los paneles de lista para especificar el principal o la política que desea manipular.

Omitir Vínculos de navegación
Salir de la Vista de impresión
	Administración de Oracle Solaris 11.1: servicios de seguridad Oracle Solaris 11.1 Information Library (Español)