ホスト上の Kerberos サービスの認証を一時的に無効にする方法

言語:

ktutil コマンドを使用すると、kadmin 権限のないユーザーでもサービスを無効にできます。このユーザーはまた、サービスを復元することもできます。詳細は、ktutil(1) のマニュアルページを参照してください。

始める前に

root 役割になる必要があります。詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の割り当てられている管理権利の使用を参照してください。

現在のキータブファイルを一時ファイルに保存します。
この一時ファイルは、Step 9 で認証を再度有効にするために使用します。
keytab ファイルを含むホスト上で、ktutil コマンドを起動します。
注 - ほかのユーザーが所有するキータブファイルを作成することもできますが、キータブファイルのデフォルトの位置を使用するには root 所有権が必要です。
```
# /usr/bin/ktutil
```
keytab ファイルを鍵リストバッファーに読み込みます。
```
ktutil: read_kt keytab
```
鍵リストバッファーを表示します。
```
ktutil: list
```
現在のキー一覧バッファーが表示されます。無効にするサービスのスロット番号を記録します。
鍵リストバッファーから特定のサービス主体を削除することによって、ホストのサービスを一時的に無効にします。
```
ktutil: delete_entry slot-number
```
ここで、slot-number は、list の出力にある削除されるサービス主体のスロット番号を指定します。
鍵リストバッファーを新しい keytab ファイルに書き込みます。
```
ktutil: write_kt new-keytab
```
ktutil コマンドを終了します。
```
ktutil: quit
```
新しい keytab ファイルを使用して、主体の認証を無効にします。
```
# mv new-keytab keytab
```

(オプション) サービスを再度有効にするには、一時的な keytab ファイルを元の場所にコピーします。
```
# cp original-keytab keytab
```

使用例 37 Kerberos ホストの一時的な無効化

この例では、denver ホスト上の host サービスが一時的に無効になります。denver 上のホストサービスを再度有効にするため、管理者は保存されたキータブファイルを元の場所にコピーします。

denver # cp /etc/krb5/krb5.keytab /etc/krb5/krb5.keytab.save
denver # /usr/bin/ktutil
ktutil:read_kt /etc/krb5/krb5.keytab
ktutil:list
slot KVNO Principal
---- ---- ---------------------------------------
1    8 root/denver@EXAMPLE.COM
2    5 host/denver@EXAMPLE.COM
ktutil:delete_entry 2
ktutil:list
slot KVNO Principal
---- ---- --------------------------------------
1    8 root/denver@EXAMPLE.COM
ktutil:write_kt /etc/krb5/nodenverhost.krb5.keytab
ktutil: quit
denver # cp /etc/krb5/nodenverhost.krb5.keytab /etc/krb5/krb5.keytab

ホストは、保存されているファイルをユーザーが元の場所にコピーするまで使用できません。

denver # cp /etc/krb5/krb5.keytab.save /etc/krb5/krb5.keytab