test

Guide du mécanisme d'authentification pour l'entreprise de Sun

Comment désactiver temporairement l'authentification pour un service sur un hôte

Certaines situations peuvent vous obliger à désactiver temporairement le mécanisme d'authentification d'un service, comme rlogin ou ftp, sur un serveur d'applications en réseau. Vous pourriez par exemple interdire l'accès à un système pendant sa maintenance. La commande ktutil vous permet d'activer ce blocage en supprimant le principal de service de la table de clés du serveur, sans détenir de privilèges kadmin. Pour réactiver l'authentification, il suffit de transférer la copie de la table de clés originale vers son emplacement d'origine.

Remarque :

La plupart des services sont configurés par défaut de manière à exiger l'authentification. Autrement, le service fonctionnera même si vous désactivez l'authentification du service.

  1. Adoptez l'identité de superutilisateur sur l'hôte contenant la table de clés.

    Remarque :

    Bien qu'il soit possible de créer des tables de clés détenues par d'autres utilisateurs, l'emplacement par défaut de la table de clés exige des privilèges de superutilisateur.

  2. Enregistrez la table de clés courante dans un fichier temporaire.

  3. Exécutez la commande ktutil.


    # /usr/krb5/bin/ktutil

  4. Effectuez la lecture de la table de clés dans le tampon de liste de clés avec la commande read_kt .


    ktutil: read_kt table_clés

  5. Affichez le tampon de liste de clés avec la commande list.


    ktutil: list

    Le tampon de la liste de clés courante apparaît. Prenez note du numéro d'emplacement du service que vous voulez désactiver.

  6. Pour désactiver temporairement le service d'un hôte, supprimez le principal de service dans le tampon de liste de clés avec la commande delete_entry.


    ktutil: delete_entry numéro_emplacement

    numéro_emplacement

    Numéro d'emplacement du principal de service à supprimer, affiché avec la commande list.

  7. Enregistrez le tampon de liste de clés dans la table de clés avec la commande write_kt.


    ktutil: write_kt table_clés

  8. Quittez la commande ktutil.


    ktutil: quit

  9. Pour réactiver le service, transférez le fichier temporaire contenant la table de clés originale vers son emplacement d'origine.

Exemple--Désactivation temporaire d'un service sur un hôte

Dans l'exemple qui suit, le service host de l'hôte denver est temporairement désactivé. Pour réactiver le service d'hôte de denver, remplacez le fichier /etc/krb5/krb5.keytab par le fichier krb5.keytab.temp.


denver # cp /etc/krb5/krb5.keytab /etc/krb5/krb5.keytab.temp
denver # /usr/krb5/bin/ktutil
    ktutil :read_kt /etc/krb5/krb5.keytab
    ktutil :list
emplacement no_version_clé Principal
---- ---- ---------------------------------------
   1    8 root/denver@ACME.COM
   2    5 host/denver@ACME.COM
    ktutil :delete_entry 2
    ktutil :list
emplacement no_version_clé Principal
---- ---- --------------------------------------
   1    8 root/denver@ACME.COM
    ktutil :write_kt /etc/krb5/krb5.keytab
    ktutil: quit