test

Handbok för Sun Enterprise Authentication Mechanism

Så här inaktiverar du tillfälligt verifiering för en tjänst på en värd

Det kan inträffa att du tillfälligt behöver inaktivera verifieringsmekanismen för en tjänst, t ex rlogin eller ftp, på en nätverksprogramserver. Du kanske t ex vill förhindra användare att logga in på ett system när underhåll pågår. Med kommandot ktutil kan du, utan behörighet för kadmin, göra detta genom att ta bort tjänstprincipalen ur serverns nyckeltabell. Om du vill aktivera verifieringen igen behöver du bara kopiera den ursprungliga nyckeltabellen som du har sparat tillbaka till dess ursprungsplats.

Obs!

De flesta tjänster kräver att verifieringen fungerar som standard. Om tjänsten inte kräver det kommer den ändå att fungera, även om du inaktiverar verifiering för tjänsten.

  1. Växla till superanvändare på värden med nyckeltabellen.

    Obs!

    Även om du kan skapa nyckeltabeller som ägs av användare kräver standardplatsen för nyckeltabellen att root är ägare.

  2. Spara den aktuella nyckeltabellen i en temporär fil.

  3. Starta kommandot ktutil.


    # /usr/krb5/bin/ktutil

  4. Läs nyckeltabellen till bufferten för nyckellistan med kommandot read_kt.


    ktutil: read_kt nyckeltabell

  5. Visa bufferten för nyckellistan med kommandot list.


    ktutil: list

    Den aktuella bufferten för nyckellistan visas. Notera platsnumret för tjänsten som ska inaktiveras.

  6. Om du tillfälligt vill inaktivera en värds tjänst tar du bort tjänstprincipalen ur bufferten för nyckellistan med kommandot delete_entry.


    ktutil: delete_entry platsnummer

    platsnummer

    Platsnumret för tjänstprincipalen som ska tas bort. Det visas av kommandot list.

  7. Skriv bufferten för nyckellistan till nyckeltabellen med kommandot write_kt.


    ktutil: write_kt nyckeltabell

  8. Avsluta kommandot ktutil.


    ktutil: quit

  9. När du vill aktivera tjänsten igen kopierar du den temporära (ursprungliga) nyckeltabellen till dess ursprungliga plats.

Exempel - Inaktivera en tjänst på en värd tillfälligt

I följande exempel inaktiveras värd-tjänsten tillfälligt på värden denver. Om du vill aktivera värdtjänsten igen på denver kopierar du filen krb5.keytab.temp till filen /etc/krb5/krb5.keytab.


denver # cp /etc/krb5/krb5.keytab /etc/krb5/krb5.keytab.temp
denver # /usr/krb5/bin/ktutil
    ktutil:read_kt /etc/krb5/krb5.keytab
    ktutil:list
slot KVNO Principal
---- ---- ---------------------------------------
   1    8 host/denver@ACME.COM
   2    5 host/denver@ACME.COM
    ktutil:delete_entry 2
    ktutil:list
slot KVNO Principal
---- ---- --------------------------------------
   1    8 host/denver@ACME.COM
    ktutil:write_kt /etc/krb5/krb5.keytab
    ktutil: quit