호스트에서 서비스 인증을 임시로 비활성화하는 방법
네트워크 응용 프로그램 서버에서 rlogin 또는 ftp와 같은 서비스의 인증 메커니즘을 임시로 비활성화해야 하는 경우가 있습니다. 예를 들어, 유지 보수 프로시저를 수행하는 동안 사용자가 시스템에 로그인할 수 없도록 해야 하는 경우입니다. kadmin 권한 없이도 ktutil명령으로 서버의 키 테이블에서 서비스 주체를 제거하여 로그인을 중지시킬 수 있습니다. 인증을 다시 활성화하려면, 저장했던 원래 키 테이블을 원래 위치로 다시 복사만 하면 됩니다.
주 -
대부분의 서비스는 기본적으로 인증이 필요하도록 설정되어 있습니다. 그렇지 않으면 서비스의 인증을 비활성화해도 서비스가 계속 작동합니다.
-
키 테이블이 있는 호스트의 수퍼유저가 됩니다.
주 -다른 사용자가 소유한 키 테이블을 작성할 수 있지만 키 테이블의 기본 위치에 대한 루트 소유권이 있어야 합니다.
-
현재 키 테이블을 임시 파일로 저장합니다.
-
ktutil 명령을 시작합니다.
# /usr/krb5/bin/ktutil
-
read_kt 명령을 사용하여 키 테이블을 키 목록 버퍼로 읽어 들입니다.
ktutil: read_kt 키 테이블
-
list 명령을 사용하여 키 목록 버퍼를 표시합니다.
ktutil: 목록
현재 키 목록 버퍼가 표시됩니다. 비활성화할 서비스의 슬롯 번호를 확인합니다.
-
호스트의 서비스를 임시로 비활성화하려면, delete_entry 명령을 사용하여 키 목록 버퍼에서 특정 서비스 주체를 삭제합니다.
ktutil: delete_entry slot_number
slot_number
삭제할 서비스 주체의 슬롯 번호로서, list 명령에 의해 표시됩니다.
-
write_kt 명령을 사용하여 키 목록 버퍼를 키 테이블에 씁니다.
ktutil: write_kt 키 테이블
-
ktutil 명령을 종료합니다.
ktutil: quit
-
서비스를 다시 활성화하려면 임시(원래) 키 테이블을 원래 위치로 다시 복사합니다.
예-호스트에서 서비스를 임시로 비활성화
다음 예는 denver 호스트에서 호스트 서비스를 임시로 비활성화합니다. denver에서 호스트 서비스를 다시 활성화하려면, krb5.keytab.temp 파일을 /etc/krb5/krb5.keytab 파일로 복사합니다.
denver # cp /etc/krb5/krb5.keytab /etc/krb5/krb5.keytab.temp
denver # /usr/krb5/bin/ktutil
ktutil:read_kt /etc/krb5/krb5.keytab
ktutil:list
slot KVNO 주체
---- ---- ---------------------------------------
1 8 root/denver@ACME.COM
2 5 host/denver@ACME.COM
ktutil:delete_entry 2
ktutil:list
slot KVNO 주체
---- ---- --------------------------------------
1 8 root/denver@ACME.COM
ktutil:write_kt /etc/krb5/krb5.keytab
ktutil: quit
|
- © 2010, Oracle Corporation and/or its affiliates