test

Sun Guía de Sun Enterprise Authentication Mechanism

Inhabilitación temporal de la autenticación para un servicio de un sistema

Puede haber ocasiones en los que necesite inhabilitar temporalmente el mecanismo de autenticación para un servicio, como rlogin o ftp, en un servidor de aplicaciones de red. Por ejemplo, quizás desee evitar que los usuarios inicien sesiones en un sistema mientras lleva a cabo procedimientos de mantenimiento. El comando ktutil le permite hacer esto eliminando el principal de servicio en la tabla de claves del servidor, sin necesitar privilegios de kadmin. Para volver a habilitar la autenticación, todo lo que debe hacer es copiar la tabla de claves original que guardó de vuelta a su ubicación original.

Nota -

De forma predeterminada, la mayoría de servicios están configurados para que requieran la autenticación para funcionar. Si no es así, el servicio funcionará de todas formas incluso si inhabilita su autenticación.

  1. Conviértase en superusuario en el sistema de la tabla de claves.

    Nota -

    Aunque puede crear tablas de claves que sean propiedad de otros usuarios, la ubicación predeterminada para la tabla de claves necesita la propiedad de root.

  2. Guarde la tabla de claves actual en un archivo temporal.

  3. Inicie el comando ktutil.


    # /usr/krb5/bin/ktutil

  4. Lea la tabla de claves en la memoria intermedia de lista de claves mediante el comando read_kt.


    ktutil: read_kt tabla_claves

  5. Muestre la memoria intermedia de lista de claves mediante el comando list.


    ktutil: list

    Aparecerá la memoria intermedia de lista de claves actual. Anote el número de ranura del servicio que desea inhabilitar.

  6. Para inhabilitar temporalmente un servicio de un sistema, elimine el principal de servicio específico en la memoria intermedia de lista de claves mediante el comando delete_entry.


    ktutil: delete_entry número_ranura

    número_ranura

    El número de ranura del principal de servicio que se suprimirá, según lo muestra el comando list.

  7. Escriba la memoria intermedia de tabla de lista en la tabla de claves mediante el comando write_kt.


    ktutil: write_kt tabla_claves

  8. Salga del comando ktutil.


    ktutil: quit

  9. Cuando desee habilitar de nuevo el servicio, vuelva a copiar la tabla de claves temporal (original) de vuelta a su ubicación original.

Ejemplo: inhabilitación temporal de un servicio de un sistema

El ejemplo siguiente inhabilita temporalmente el servicio host del sistema puebla. Para rehabilitar el servicio host en puebla, debería copiar el archivo krb5.keytab.temp sobre el archivo /etc/krb5/krb5.keytab.


puebla # cp /etc/krb5/krb5.keytab /etc/krb5/krb5.keytab.temp
puebla # /usr/krb5/bin/ktutil
    ktutil:read_kt /etc/krb5/krb5.keytab
    ktutil:list
ranura KVNO Principal 
------ ---- --------------------------------------- 
1    8 root/puebla@ACME.COM 
2    5 host/puebla@ACME.COM 
ktutil:delete_entry 2
    ktutil:list
ranura KVNO Principal 
------ ---- -------------------------------------- 
1    8 root/ranura@ACME.COM 
ktutil:write_kt /etc/krb5/krb5.keytab
    ktutil: quit