네트워크 응용 프로그램 서버에서 rlogin 또는 ftp와 같은 서비스의 인증 메커니즘을 임시로 비활성화해야 하는 경우가 있습니다. 예를 들어, 유지 보수 프로시저를 수행하는 동안 사용자가 시스템에 로그인할 수 없도록 해야 하는 경우입니다. kadmin 권한 없이도 ktutil명령으로 서버의 키 테이블에서 서비스 주체를 제거하여 로그인을 중지시킬 수 있습니다. 인증을 다시 활성화하려면, 저장했던 원래 키 테이블을 원래 위치로 다시 복사만 하면 됩니다.
대부분의 서비스는 기본적으로 인증이 필요하도록 설정되어 있습니다. 그렇지 않으면 서비스의 인증을 비활성화해도 서비스가 계속 작동합니다.
키 테이블이 있는 호스트의 수퍼유저가 됩니다.
다른 사용자가 소유한 키 테이블을 작성할 수 있지만 키 테이블의 기본 위치에 대한 루트 소유권이 있어야 합니다.
현재 키 테이블을 임시 파일로 저장합니다.
ktutil 명령을 시작합니다.
# /usr/krb5/bin/ktutil |
read_kt 명령을 사용하여 키 테이블을 키 목록 버퍼로 읽어 들입니다.
ktutil: read_kt 키 테이블 |
list 명령을 사용하여 키 목록 버퍼를 표시합니다.
ktutil: 목록 |
현재 키 목록 버퍼가 표시됩니다. 비활성화할 서비스의 슬롯 번호를 확인합니다.
호스트의 서비스를 임시로 비활성화하려면, delete_entry 명령을 사용하여 키 목록 버퍼에서 특정 서비스 주체를 삭제합니다.
ktutil: delete_entry slot_number |
slot_number |
삭제할 서비스 주체의 슬롯 번호로서, list 명령에 의해 표시됩니다. |
write_kt 명령을 사용하여 키 목록 버퍼를 키 테이블에 씁니다.
ktutil: write_kt 키 테이블 |
ktutil 명령을 종료합니다.
ktutil: quit |
서비스를 다시 활성화하려면 임시(원래) 키 테이블을 원래 위치로 다시 복사합니다.
다음 예는 denver 호스트에서 호스트 서비스를 임시로 비활성화합니다. denver에서 호스트 서비스를 다시 활성화하려면, krb5.keytab.temp 파일을 /etc/krb5/krb5.keytab 파일로 복사합니다.
denver # cp /etc/krb5/krb5.keytab /etc/krb5/krb5.keytab.temp denver # /usr/krb5/bin/ktutil ktutil:read_kt /etc/krb5/krb5.keytab ktutil:list slot KVNO 주체 ---- ---- --------------------------------------- 1 8 root/denver@ACME.COM 2 5 host/denver@ACME.COM ktutil:delete_entry 2 ktutil:list slot KVNO 주체 ---- ---- -------------------------------------- 1 8 root/denver@ACME.COM ktutil:write_kt /etc/krb5/krb5.keytab ktutil: quit |