test

Manuale di Sun Enterprise Authentication Mechanism

Disabilitare temporaneamente l'autenticazione per un servizio su un host

In alcuni casi può essere utile disabilitare temporaneamente il meccanismo di autenticazione per un servizio, ad esempio per rlogin o ftp, su un server di applicazioni di rete. Ad esempio, si può impedire che gli utenti effettuino il login in un sistema durante l'esecuzione di procedure di manutenzione. Il comando ktutil permette di ottenere questo scopo rimuovendo il nome principale del servizio dalla tabella di chiavi del server, senza bisogno dei privilegi di kadmin. Per abilitare nuovamente l'autenticazione, sarà sufficiente copiare la tabella di chiavi originale nella sua posizione originaria.

Nota -

Nella configurazione predefinita, la maggior parte dei servizi può essere utilizzato solo con un'autenticazione. Se l'autenticazione non è richiesta, il servizio continuerà a funzionare anche disabilitando la relativa autenticazione.

  1. Diventare superutente sull'host su cui risiede la tabella di chiavi.

    Nota -

    Benché sia possibile creare tabelle di chiavi possedute da altri utenti, la posizione predefinita per la tabella di chiavi deve essere di proprietà di root.

  2. Salvare la tabella di chiavi corrente in un file temporaneo.

  3. Avviare il comando ktutil.


    # /usr/krb5/bin/ktutil

  4. Caricare la tabella di chiavi nel buffer per gli elenchi di chiavi usando il comando read_kt.


    ktutil: read_kt tabella_chiavi

  5. Visualizzare il contenuto del buffer usando il comando list.


    ktutil: list

    Viene visualizzato il contenuto corrente del buffer per gli elenchi di chiavi. Annotare il numero di slot per il servizio da disabilitare.

  6. Per disabilitare temporaneamente un servizio dell'host, rimuovere il nome principale del servizio specifico dal buffer per gli elenchi di chiavi usando il comando delete_entry.


    ktutil: delete_entry numero_slot

    numero_slot

    Numero di slot del nome principale del servizio da eliminare, visualizzato dal comando list.

  7. Scaricare il contenuto del buffer nella tabella di chiavi usando il comando write_kt.


    ktutil: write_kt tabella_chiavi

  8. Uscire dal comando ktutil.


    ktutil: quit

  9. Per abilitare nuovamente il servizio, copiare la tabella di chiavi temporanea (originale) nella sua posizione originaria.

Esempio -- Disabilitazione temporanea di un servizio su un host

L'esempio seguente disabilita temporaneamente il servizio host sull'host milano. Per abilitare nuovamente il servizio su milano, occorrerà copiare il file krb5.keytab.temp nel file /etc/krb5/krb5.keytab.


milano # cp /etc/krb5/krb5.keytab /etc/krb5/krb5.keytab.temp
milano # /usr/krb5/bin/ktutil
    ktutil:read_kt /etc/krb5/krb5.keytab
    ktutil:list
Slot Vers. Nome principale
---- ---- ---------------------------------------
   1    8 root/milano@SPA.IT
   2    5 host/milano@SPA.IT
    ktutil:delete_entry 2
    ktutil:list
Slot Vers. Nome principale
---- ---- --------------------------------------
   1    8 root/milano@SPA.IT
    ktutil:write_kt /etc/krb5/krb5.keytab
    ktutil: quit