test

Sun Enterprise Authentication Mechanism 1.0.1 Handbuch

Temporäres Deaktivieren der Authentisierung für einen Service auf einem Host

Es kann vorkommen, dass Sie den Authentisierungsmechanismus für einen Service, wie z. B. rlogin oder ftp, auf einem Netzwerk-Anwendungs-Server temporär deaktivieren müssen. Wenn Sie z. B. Benutzer davon abhalten möchten, sich auf einem System anzumelden, während Sie Verwaltungsaufgaben durchführen. Mit dem Befehl ktutil können Sie dies erreichen, indem Sie den Service-Hauptbenutzer aus der Schlüsseltabelle des Servers entfernen, ohne dass kadmin-Berechtigungen erforderlich sind. Wenn Sie die Authentisierung wieder aktivieren möchten, müssen Sie nur die zuvor gesicherte ursprüngliche Schlüsseltabelle wieder an die Ausgangsposition kopieren.

Hinweis -

Die meisten Services sind so eingerichtet, dass die Authentisierung standardmäßig aktiviert ist. Wenn dies nicht der Fall sein sollte, kann der Service dennoch ausgeführt werden, auch wenn die Authentisierung für diesen Service deaktiviert wurde.

  1. Melden Sie sich auf dem Host mit der Schlüsseltabelle als Superuser an.

    Hinweis -

    Obwohl Sie Schlüsseltabellen erstellen können, die Eigentum anderer Benutzer sind, erfordert die Standardposition für die Schlüsseltabelle die root-Eigentümerrechte.

  2. Speichern Sie die aktuelle Schlüsseltabelle in einer temporären Datei.

  3. Starten Sie den Befehl ktutil.


    # /usr/bin/ktutil

  4. Lesen Sie die Schlüsseltabelle mit dem Befehl read_kt in den Puffer für die Schlüssellisten ein.


    ktutil: read_kt keytab

  5. Zeigen Sie den Puffer für die Schlüssellisten mit dem Befehl list an. 


    ktutil: list

    Der aktuelle Schlüssellisten-Puffer wird angezeigt. Beachten Sie die Slot-Nummer für den zu deaktivierenden Service.

  6. Entfernen Sie den bestimmten Service-Hauptbenutzer mit dem Befehl delete_entry aus dem Puffer für die Schlüssellisten, um den Service eines Hosts temporär zu deaktivieren.


    ktutil: delete_entry slot_number

    slot_number

    Die Slot-Nummer des zu löschenden Hauptbenutzers, der vom Befehl list angezeigt wird.

  7. Schreiben Sie den Puffer für die Schlüsselliste mit dem Befehl write_kt in die Schlüsseltabelle.


    ktutil: write_kt keytab

  8. Beenden Sie den Befehl ktutil.


    ktutil: quit

  9. Wenn Sie den Service wieder aktivieren möchten, kopieren Sie die temporäre (ursprüngliche) Schlüsseltabelle wieder an ihre ursprüngliche Position zurück.

Beispiel-- Temporäres Deaktivieren der Authentisierung für einen Service auf einem Host

Bei dem folgenden Beispiel wird der host-Service auf dem Host hannover deaktiviert. Um den Host-Service wieder auf hannover zu aktivieren, würden Sie die Datei krb5.keytab.temp zur Datei /etc/krb5/krb5.keytab kopieren.


hannover # cp /etc/krb5/krb5.keytab /etc/krb5/krb5.keytab.temp
hannover # /usr/bin/ktutil
    ktutil:read_kt /etc/krb5/krb5.keytab
    ktutil:list
slot KVNO Principal
---- ---- ---------------------------------------
   1    8 root/hannover@ACME.COM
   2    5 host/hannover@ACME.COM
    ktutil:delete_entry 2
    ktutil:list
slot KVNO Principal
---- ---- --------------------------------------
   1    8 root/hannover@ACME.COM
    ktutil:write_kt /etc/krb5/krb5.keytab
    ktutil: quit