Verwalten von Schlüsseltabellendateien

Jeder Host, der einen Service bereitstellt, muss über eine lokale Datei verfügen, eine sogenannte Schlüsseltabelle. Die Schlüsseltabelle enthält das Hauptelement für den entsprechenden Service, einen Serviceschlüssel. Mit einem Serviceschlüssel authentifiziert sich ein Service beim KDC. Der Serviceschlüssel ist nur Kerberos und dem Service selbst bekannt. Beispiel: Wenn Sie einen kerberisierten NFS-Server haben, muss dieser Server eine Schlüsseltabellendatei aufweisen, die dessen Service-Hauptelement nfs enthält.

Zum Hinzufügen eines Serviceschlüssels zu einer Schlüsseltabellendatei fügen Sie mit dem Befehl ktadd von kadmin das entsprechende Service-Hauptelement zu einer Schlüsseltabellendatei eines Hosts hinzu. Da Sie ein Service-Hauptelement zu einer Schlüsseltabellendatei hinzufügen, muss das Hauptelement bereits in der Kerberos-Datenbank vorliegen, damit kadmin prüfen kann, ob es vorhanden ist. Auf dem Master-KDC befindet sich die Schlüsseltabellendatei standardmäßig unter /etc/krb5/kadm5.keytab. Auf Anwendungsservern, die kerberisierte Services bereitstellen, liegt die Schlüsseltabellendatei standardmäßig unter /etc/krb5/krb5.keytab.

Eine Schlüsseltabelle entspricht dem Passwort eines Benutzers. Der Schutz der Schüsseltabellendateien ist für Anwendungsserver ebenso wichtig wie für Benutzer der Schutz ihrer Passwörter. Sie sollten Schlüsseltabellendateien immer auf einer lokalen Festplatte speichern und sie nur für den root-Benutzer lesbar machen. Zudem sollten Sie eine Schlüsseltabellendatei nie über ein ungesichertes Netzwerk versenden.

Es ist außerdem eine spezielle Instanz vorhanden, in der ein root-Hauptelement zu der Schlüsseltabellendatei eines Hosts hinzugefügt wird. Wenn ein Benutzer auf dem Kerberos-Client kerberisierte NFS-Dateisysteme einhängen soll, für die root-äquivalenter Zugriff erforderlich ist, müssen Sie das root-Hauptelement des Clients zu der Schlüsseltabellendatei des Clients hinzufügen. Andernfalls müssen Benutzer zum Einhängen eines kerberisierten NFS-Dateisystems mit root-Zugriff den Befehl kinit als root verwenden, um Berechtigungsnachweise für das root-Hauptelement des Clients zu erhalten, auch wenn sie den Automounter verwenden.

Ein weiterer Befehl zum Verwalten von Schlüsseltabellendateien ist ktutil. Mithilfe dieses interaktiven Befehls können Sie die Schlüsseltabellendatei eines lokalen Hosts ohne Kerberos-Administratorberechtigungen verwalten, da ktutil nicht wie kadmin mit der Kerberos-Datenbank kommuniziert. Somit können Sie nach dem Hinzufügen eines Hauptelements zu einer Schlüsseltabellendatei den Befehl ktutil verwenden, um die Schlüsselliste in einer Schlüsseltabellendatei anzuzeigen oder die Authentifizierung für einen Service vorübergehend zu deaktivieren.

Verwalten von Schlüsseltabellendateien (Übersicht der Schritte)

So fügen Sie ein Service-Hauptelement von Kerberos zu einer Schlüsseltabellendatei hinzu

1. Stellen Sie sicher, dass das Hauptelement bereits in der Kerberos-Datenbank vorhanden ist.

   Weitere Informationen finden Sie unter So zeigen Sie die Liste der Kerberos-Hauptelemente an.

2. Melden Sie sich als Superuser bei dem Host an, zu dessen Schlüsseltabellendatei ein Hauptelement hinzugefügt werden muss.
3. Starten Sie den Befehl kadmin.

   # /usr/sbin/kadmin

4. Fügen Sie mit dem Befehl ktadd ein Hauptelement zu einer Schlüsseltabellendatei hinzu.

   kadmin: ktadd [-e enctype] [-k keytab] [-q] [principal | -glob principal-exp]

   -e enctype

   Überschreibt die Liste der in der Datei krb5.conf definierten Verschlüsselungstypen.

   -k keytab

   Gibt die Schlüsseltabellendatei an. Standardmäßig wird /etc/krb5/krb5.keytab verwendet.

   -q

   Zeigt weniger ausführliche Informationen an.

   principal

   Gibt das der Schlüsseltabellendatei hinzuzufügende Hauptelement an. Sie können folgende Service-Hauptelemente hinzufügen: host, root, nfs und ftp.

   -glob principal-exp

   Gibt die Hauptelement-Ausdrücke an. Alle Hauptelemente, die principal-exp entsprechen, werden der Schlüsseltabellendatei hinzugefügt. Für Hauptelement-Ausdrücke gelten dieselben Regeln wie für den Befehl list_principals von kadmin.

5. Beenden Sie den Befehl kadmin.

   kadmin: quit

Beispiel 25-16 Hinzufügen eines Service-Hauptelements zu einer Schlüsseltabellendatei

Im folgenden Beispiel werden die Hauptelemente kadmin/kdc1.example.com und changepw/kdc1.example.com zu der Schlüsseltabellendatei eines Master-KDC hinzugefügt. Für dieses Beispiel muss es sich bei der Schlüsseltabellendatei um die in der Datei kdc.conf angegebene Datei handeln.

kdc1 # /usr/sbin/kadmin.local
kadmin.local: ktadd -k /etc/krb5/kadm5.keytab kadmin/kdc1.example.com changepw/kdc1.example.com
Entry for principal kadmin/kdc1.example.com with kvno 3, encryption type AES-256 CTS mode
          with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal kadmin/kdc1.example.com with kvno 3, encryption type AES-128 CTS mode
          with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal kadmin/kdc1.example.com with kvno 3, encryption type Triple DES cbc
          mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal kadmin/kdc1.example.com with kvno 3, encryption type ArcFour
          with HMAC/md5 added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal kadmin/kdc1.example.com with kvno 3, encryption type DES cbc mode
          with RSA-MD5 added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal changepw/kdc1.example.com with kvno 3, encryption type AES-256 CTS
          mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal changepw/kdc1.example.com with kvno 3, encryption type AES-128 CTS
          mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal changepw/kdc1.example.com with kvno 3, encryption type Triple DES cbc
          mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal changepw/kdc1.example.com with kvno 3, encryption type ArcFour
          with HMAC/md5 added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal changepw/kdc1.example.com with kvno 3, encryption type DES cbc mode
          with RSA-MD5 added to keytab WRFILE:/etc/krb5/kadm5.keytab.
kadmin.local: quit

Im folgenden Beispiel wird das Hauptelement host von denver der Schlüsseltabellendatei von denver hinzugefügt, damit das KDC die Netzwerkdienste von denver authentifizieren kann.

denver # /usr/sbin/kadmin
kadmin: ktadd host/denver.example.com
Entry for principal host/denver.example.com with kvno 3, encryption type AES-256 CTS
          mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/denver.example.com with kvno 3, encryption type AES-128 CTS mode
          with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/denver.example.com with kvno 3, encryption type Triple DES cbc mode
          with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/denver.example.com with kvno 3, encryption type ArcFour
          with HMAC/md5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/denver.example.com with kvno 3, encryption type DES cbc mode
          with RSA-MD5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
kadmin: quit

So entfernen Sie ein Service-Hauptelement aus einer Schlüsseltabellendatei

1. Melden Sie sich als Superuser bei dem Host mit einem Service-Hauptelement an, das aus der dazugehörigen Schlüsseltabellendatei entfernt werden muss.
2. Starten Sie den Befehl kadmin.

   # /usr/sbin/kadmin

3. (Optional) Zum Anzeigen der aktuellen Liste der Hauptelemente (Schlüssel) in der Schlüsseltabellendatei verwenden Sie den Befehl ktutil.

   Weitere Informationen finden Sie unter So zeigen Sie die Schlüsselliste (Hauptelemente) in einer Schlüsseltabellendatei an.

4. Entfernen Sie mit dem Befehl ktremove ein Hauptelement aus der Schlüsseltabellendatei.

   kadmin: ktremove [-k keytab] [-q] principal [kvno | all | old ]

   -k keytab

   Gibt die Schlüsseltabellendatei an. Standardmäßig wird /etc/krb5/krb5.keytab verwendet.

   -q

   Zeigt weniger ausführliche Informationen an.

   principal

   Gibt das aus der Schlüsseltabellendatei zu entfernende Hauptelement an.

   kvno

   Entfernt alle Einträge für das angegebene Hauptelement, dessen Schlüsselversionsnummer kvno entspricht.

   all

   Entfernt alle Einträge für das angegebene Hauptelement.

   old

   Entfernt alle Einträge für das angegebene Hauptelement, abgesehen von den Einträgen mit der höchsten Schlüsselversionsnummer.

5. Beenden Sie den Befehl kadmin.

   kadmin: quit

Beispiel 25-17 Entfernen eines Service-Hauptelements aus einer Schlüsseltabellendatei

Im folgenden Beispiel wird das Hauptelement host von denver aus der Schlüsseltabellendatei von denver entfernt.

denver # /usr/sbin/kadmin
kadmin: ktremove host/denver.example.com@EXAMPLE.COM
kadmin: Entry for principal host/denver.example.com@EXAMPLE.COM with kvno 3
  removed from keytab WRFILE:/etc/krb5/krb5.keytab.
kadmin: quit

So zeigen Sie die Schlüsselliste (Hauptelemente) in einer Schlüsseltabellendatei an

1. Melden Sie sich als Superuser bei dem Host mit der Schlüsseltabellendatei an.

   ---

   Hinweis - Obwohl Sie Schlüsseltabellendateien erstellen können, die Eigentum anderer Benutzern sind, sind für die Verwendung des Standardspeicherorts der Schlüsseltabellendatei root-Eigentümerberechtigungen erforderlich.

   ---

2. Starten Sie den Befehl ktutil.

   # /usr/bin/ktutil

3. Lesen Sie mit dem Befehl read_kt die Schlüsseltabellendatei in den Schlüssellistenpuffer ein.

   ktutil: read_kt keytab

4. Zeigen Sie mit dem Befehl list den Schlüssellistenpuffer an.

   ktutil: list

   Der aktuelle Schlüssellistenpuffer wird angezeigt.

5. Beenden Sie den Befehl ktutil.

   ktutil: quit

Beispiel 25-18 Anzeigen der Schlüsselliste (Hauptelemente) in einer Schlüssellistendatei

Im folgenden Beispiel wird die Schlüsselliste in der Datei /etc/krb5/krb5.keytab auf dem Host denver angezeigt.

denver # /usr/bin/ktutil
    ktutil: read_kt /etc/krb5/krb5.keytab
    ktutil: list
slot KVNO Principal
---- ---- ---------------------------------------
   1    5 host/denver@EXAMPLE.COM
    ktutil: quit

So deaktivieren Sie vorübergehend die Authentifizierung für einen Service auf einem Host

Manchmal müssen Sie gegebenenfalls den Authentifizierungsmechanismus für einen Service, wie zum Beispiel rlogin oder ftp , auf einem Anwendungsserver im Netzwerk vorübergehend deaktivieren. Beispiel: Möglicherweise möchten Sie Benutzer daran hindern, sich bei einem System anzumelden, während Sie Verwaltungsvorgänge durchführen Mithilfe des Befehls ktutil können Sie dies erreichen, indem Sie das Service-Hauptelement aus der Schlüsseltabellendatei des Servers entfernen, ohne dass dafür kadmin-Berechtigungen erforderlich sind. Zum erneuten Aktivieren der Authentifizierung müssen Sie nur die zuvor gespeicherte ursprüngliche Schlüsseltabellendatei zurück an den eigentlichen Speicherort kopieren.

1. Melden Sie sich als Superuser bei dem Host mit der Schlüsseltabellendatei an.

   ---

   Hinweis - Obwohl Sie Schlüsseltabellendateien erstellen können, die Eigentum anderer Benutzern sind, sind für die Verwendung des Standardspeicherorts der Schlüsseltabellendatei root-Eigentümerberechtigungen erforderlich.

   ---

2. Speichern Sie die aktuelle Schlüsseltabellendatei in einer temporären Datei.
3. Starten Sie den Befehl ktutil.

   # /usr/bin/ktutil

4. Lesen Sie mit dem Befehl read_kt die Schlüsseltabellendatei in den Schlüssellistenpuffer ein.

   ktutil: read_kt keytab

5. Zeigen Sie mit dem Befehl list den Schlüssellistenpuffer an.

   ktutil: list

   Der aktuelle Schlüssellistenpuffer wird angezeigt. Beachten Sie die Slot-Nummer für den zu deaktivierenden Service.

6. Zum vorübergehenden Deaktivieren des Service eines Hosts entfernen Sie mit dem Befehl delete_entry das spezifische Service-Hauptelement aus dem Schlüssellistenpuffer.

   ktutil: delete_entry slot-number

   slot-number gibt die Steckplatznummer des zu löschenden Service-Hauptelements an, das vom Befehl list angezeigt wird.

7. Schreiben Sie mit dem Befehl write_kt den Schlüssellistenpuffer in eine neue Schlüssellistendatei.

   ktutil: write_kt new-keytab

8. Beenden Sie den Befehl ktutil.

   ktutil: quit

9. Verschieben Sie die neue Schlüssellistendatei.

   # mv new-keytab keytab

10. Wenn Sie den Service wieder aktivieren möchten, kopieren Sie die temporäre (ursprüngliche) Schlüsseltabellendatei zurück an den ursprünglichen Speicherort.

Beispiel 25-19 Vorübergehendes Deaktivieren eines Service auf einem Host

Im folgenden Beispiel wird der Service host auf dem Host denver vorübergehend deaktiviert. Zum erneuten Aktivieren des Hostservice auf denver kopieren Sie die Datei krb5.keytab.temp in die Datei /etc/krb5/krb5.keytab .

denver # cp /etc/krb5/krb5.keytab /etc/krb5/krb5.keytab.temp
denver # /usr/bin/ktutil
    ktutil:read_kt /etc/krb5/krb5.keytab
    ktutil:list
slot KVNO Principal
---- ---- ---------------------------------------
   1    8 root/denver@EXAMPLE.COM
   2    5 host/denver@EXAMPLE.COM
    ktutil:delete_entry 2
    ktutil:list
slot KVNO Principal
---- ---- --------------------------------------
   1    8 root/denver@EXAMPLE.COM
    ktutil:write_kt /etc/krb5/new.krb5.keytab
    ktutil: quit
denver # cp /etc/krb5/new.krb5.keytab /etc/krb5/krb5.keytab