SEAM ツール参照
このセクションでは、SEAM ツールの各パネルについて説明します。SEAM ツールで制限された権限を使用する方法についても説明します。
SEAM ツールパネルの説明
このセクションでは、SEAM Tool で指定または表示できる主体およびポリシーの各属性について説明します。属性は、表示されるパネルごとに分類されています。
表 23-2 SEAM ツールの「Principal Basics」パネルの属性
|
|
主体名 |
主体名 (完全指定形式の主体名の primary/ instance 部分)。主体は、KDC がチケットを割り当てることができる一意の ID です。 主体を変更しても、主体名は編集できません。 |
パスワード |
主体のパスワード。「Generate Random Password」ボタンを使用して、主体のランダムパスワードを作成できます。 |
Policy |
主体に使用できるポリシーのメニュー。 |
Account Expires |
主体のアカウントが期限切れになる日時。アカウントが期限切れになると、主体はチケット認可チケット
(TGT) を取得できず、ログインできなくなります。 |
Last Principal Change |
主体の情報が最後に変更された日付。(読み取り専用) |
Last Changed By |
この主体のアカウントを最後に変更した主体名。(読み取り専用) |
Comments |
主体に関連するコメント (「一時アカウント」など)。 |
|
表 23-3 SEAM ツールの「Principal Details」パネルの属性
|
|
Last Success |
主体が最後に正常にログインした日時。(読み取り専用) |
Last Failure |
主体が最後にログインに失敗した日時。(読み取り専用) |
Failure Count |
主体のログインが失敗した回数。(読み取り専用) |
Last Password
Change |
主体のパスワードが最後に変更された日時。(読み取り専用) |
Password Expires |
主体の現在のパスワードが期限切れになる日時。 |
Key Version |
主体の鍵のバージョン番号。この属性は通常、パスワードが危険にさらされた場合にだけ変更されます。 |
Maximum Lifetime (seconds) |
チケットを主体が使用できる最大期間 (更新しない場合)。 |
Maximum Renewal (seconds) |
既存のチケットを主体が更新できる最大期間。 |
|
表 23-4 SEAM ツールの「Principal Flags」パネルの属性
|
|
Disable Account |
チェックすると、その主体はログインできなくなります。この属性は、主体のアカウントを一時的に凍結するときに使用します。 |
Require Password Change |
チェックすると、主体の現在のパスワードが期限切れとなり、ユーザーは
kpasswd コマンドを使用して新しいパスワードを作成しなければなりません。この属性は、セキュリティー侵害が発生し、古いパスワードを置換する必要があるときに使用します。 |
Allow Postdated Tickets |
チェックすると、主体は遅延チケットを取得できます。 たとえば、cron ジョブを数時間後に実行する場合は、遅延チケットを使用する必要があります。ただし、チケットの有効期限が短い場合は、事前にチケットを取得できません。 |
Allow Forwardable Tickets |
チェックすると、主体は転送可能チケットを取得できます。 転送可能チケットは、リモートホストに転送されて、シングルサインオンセッションを実現します。たとえば、転送可能チケットを使用して、ユーザー自身の ftp 認証または rsh 認証が完了すると、NFS
サービスなどのほかのサービスを利用するときに、新たにパスワードを要求されません。 |
Allow Renewable Tickets |
チェックすると、主体が更新可能チケットを取得できます。 主体は、チケットが更新可能な場合、有効期限日時を自動的に延長することができます。つまり、最初のチケットの期限が切れても、新しいチケットを取得する必要がありません。現在の NFS サービスは、チケットを新しくするチケットサービスです。 |
Allow Proxiable Tickets |
チェックすると、主体は代理可能チケットを取得できます。 代理可能チケットを使用すると、クライアントの代わりにサービスがクライアントの操作を実行できます。代理可能チケットを使用すると、サービスはクライアントの ID を使用して別のサービスのチケットを取得できます。ただし、チケット認可チケット (TGT) を取得することはできません。 |
Allow Service
Tickets |
チェックすると、サービスチケットを特定の主体に発行できます。 サービスチケットの発行は、kadmin/hostname および changepw/hostname 主体に許可してはいけません。これらの主体は、KDC データベース以外は更新してはいけません。 |
Allow TGT-Based Authentication |
チェックすると、このサービス主体は別の主体にサービスを提供できます。つまり、KDC は、サービス主体にサービスチケットを発行できます。 この属性は、サービス主体にだけ使用できます。チェックを解除すると、サービスチケットをサービス主体に対して発行できません。 |
Allow Duplicate Authentication |
チェックすると、このユーザー主体はほかのユーザー主体のサービスチケットを取得できます。 この属性は、ユーザー主体にだけ使用できます。チェックを解除すると、ユーザー主体はサービス主体のサービスチケットを取得できますが、ほかのユーザー主体のサービスチケットは取得できません。 |
Required Preauthentication |
チェックすると、KDC が要求されたチケット認可チケット
(TGT) を主体に送信する前に、その主体が TGT を要求している主体であることを KDC のソフトウェアが認証します。この事前認証は通常、DES カードなどの特別のパスワードを使用して行われます。 チェックを解除すると、KDC は要求された TGT を主体に送信する前に、主体の事前認証を必要としません。 |
Required Hardware Authentication |
チェックすると、KDC
が要求されたチケット認可チケット (TGT) を主体に送信する前に、その主体が TGT を要求している主体であることを KDC のハードウェアが認証します。ハードウェア事前認証は、たとえば Java リングのリーダー上で行われます。 チェックを解除すると、KDC は要求された TGT を主体に送信する前に、主体の事前認証を必要としません。 |
|
表 23-5 SEAM ツールの「Policy Basics」ペインの属性
|
|
ポリシー名 |
ポリシー名。ポリシーとは、主体のパスワードとチケットを管理する一連のルールのことです。 ポリシーを変更しても、ポリシー名は編集できません。 |
Minimum
Password Length |
主体の最小パスワード長。 |
Minimum Password Classes |
主体のパスワードに必要な異なる文字タイプの数。 たとえば、最小クラス値が 2 の場合は、パスワードに 2 種類以上の文字タイプを使用する必要があります。たとえば、英字と数字を使用して「hi2mom」と入力する必要があります。値が 3 の場合は、パスワードに 3 種類以上の文字タイプを使用する必要があります。たとえば、英字、数字、および句読点を使用して「hi2mom!」と入力する必要があります。
値が 1 の場合は、パスワード文字タイプの数に制限が設定されません。 |
Saved Password History |
主体に使用された過去のパスワードの数と、過去のパスワードの一覧。これらのパスワードは再使用できません。 |
Minimum Password Lifetime (seconds) |
パスワードの最小使用期間。この期間が経過しないとパスワードを変更できません。 |
Maximum Password Lifetime (seconds) |
パスワードの最大使用期間。この期間が経過したらパスワードを変更する必要があります。 |
Principals Using
This Policy |
このポリシーが現在適用されている主体の数。(読み取り専用) |
|
Kerberos 管理権限を制限して SEAM ツールを使用する
admin 主体が Kerberos データベースを管理するためのすべての権限を持っている場合は、SEAM ツールの機能をすべて使用できます。ただし、たとえば主体の一覧の表示、主体のパスワードの変更だけができるように、Kerberos 管理権限を制限することもできます。Kerberos 管理権限を制限した場合でも、SEAM ツールを使用できます。ただし、許可された Kerberos 管理権限によって、SEAM ツールの使い方が異なります。表 23-6 に、Kerberos
管理権限に基づいた SEAM ツールの変更を示します。
一覧表示権限がない場合、SEAM ツールの表示がもっとも大きく変わります。この場合、操作する主体とポリシーの一覧が「List」パネルに表示されません。代わりに、「List」パネルの「Name」フィールドを使用して、操作する主体またはポリシーを指定する必要があります。
SEAM ツールにログインしても、必要な権限がない場合は、次のメッセージが表示されて「SEAM Administration Login」ウィンドウに戻ります。
Insufficient privileges to use gkadmin: ADMCIL. Please try using another principal.
Kerberos データベースを管理できるように主体の権限を変更する方法については、「Kerberos 管理権限を変更する方法」を参照してください。
表 23-6 Kerberos 管理権限が制限された SEAM ツールの使用
|
|
a (追加) |
「Principal List」および「Policy List」パネルの「Create New」と「Duplicate」ボタンを使用できません。追加権限がない場合は、新しい主体またはポリシーを作成または複製できません。 |
d (削除) |
「Principal List」および「Policy List」パネルの「Delete」ボタンを使用できません。削除権限がない場合は、主体またはポリシーを削除できません。 |
m (変更) |
「Principal List」および「Policy
List」パネルの「Modify」ボタンを使用できません。変更権限がない場合は、主体またはポリシーを変更できません。 また、「Modify」ボタンを使用できない場合、パスワードの変更権限を持っていても、主体のパスワードを変更できません。 |
c (パスワードの変更) |
「Principal Basics」パネルの「Password」フィールドが読み取り専用になり、変更できません。パスワードの変更権限がない場合、主体のパスワードを変更できません。 パスワードの変更権限を持っている場合でも、主体のパスワードを変更するときは、さらに変更権限が必要になります。 |
i (データベースの照会) |
「Principal List」および「Policy List」パネルの「Modify」と「Duplicate」ボタンを使用できません。照会権限がない場合は、主体またはポリシーを変更または複製できません。 また、「Modify」ボタンを使用できない場合、パスワードの変更権限を持っていても、主体のパスワードを変更できません。 |
l (一覧) |
「List」パネルで主体とポリシーの一覧を表示できません。一覧権限がない場合は、「List」パネルの「Name」フィールドを使用して、操作する主体またはポリシーを指定する必要があります。 |
|