Gestion de Kerberos et d'autres services d'authentification dans Oracle® Solaris 11.2

Quitter la vue de l'impression

 
Mis à jour : Septembre 2014
 
 

Désactivation temporaire de l'authentification d'un service Kerberos sur un hôte

La commande ktutil permet à un utilisateur qui ne dispose pas des privilèges kadmin de désactiver un service. Cet utilisateur peut également le restaurer. Pour plus d'informations, reportez-vous à la page de manuel ktutil(1).

Avant de commencer

Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .

  1. Enregistrez le fichier keytab actuel dans un fichier temporaire.

    Vous utilisez ce fichier temporaire pour réactiver l'authentification dans Step 9.

  2. Sur l'hôte avec le fichier keytab, démarrez la commande ktutil.
    Remarque -  Bien qu'il soit possible de créer des fichiers keytab détenus par d'autres utilisateurs, l'utilisation de l'emplacement par défaut pour le fichier keytab requiert la propriété root. 
    # /usr/bin/ktutil
  3. Lisez le fichier keytab dans le tampon de la liste des clés. 
    ktutil: read_kt keytab
  4. Affichez le tampon de liste des clés. 
    ktutil: list

    Le tampon de la liste de clés actuel s'affiche. Notez le numéro d'emplacement du service que vous voulez désactiver.

  5. Désactivez temporairement un service d'hôte en supprimant le principal de service spécifique du tampon de la liste des clés. 
    ktutil: delete_entry slot-number

    slot-number indique le numéro d'emplacement du principal de service à supprimer dans la sortie list.

  6. Le tampon de la liste de clés en écriture à un nouveau fichier keytab. 
    ktutil: write_kt new-keytab
  7. Quittez la commande ktutil. 
    ktutil: quit
  8. Utilisez le nouveau fichier keytab d'authentification pour désactiver le du principal. 
    # mv new-keytab keytab
  9. (Facultatif) Pour réactiver le service, copiez le fichier keytab temporaire vers son emplacement d'origine. 
    # cp original-keytab keytab
Exemple 5-18  Désactivation temporaire d'un hôte Kerberos

Dans cet exemple, le service host sur l'hôtedenver est temporairement désactivé. Pour réactiver le service d'hôte sur denver, l'administrateur copie le fichier enregistré keytab vers son emplacement d'origine.

denver # cp /etc/krb5/krb5.keytab /etc/krb5/krb5.keytab.save
denver # /usr/bin/ktutil
ktutil:read_kt /etc/krb5/krb5.keytab
ktutil:list
slot KVNO Principal
---- ---- ---------------------------------------
1    8 root/denver@EXAMPLE.COM
2    5 host/denver@EXAMPLE.COM
ktutil:delete_entry 2
ktutil:list
slot KVNO Principal
---- ---- --------------------------------------
1    8 root/denver@EXAMPLE.COM
ktutil:write_kt /etc/krb5/nodenverhost.krb5.keytab
ktutil: quit
denver # cp /etc/krb5/nodenverhost.krb5.keytab /etc/krb5/krb5.keytab

L'hôte reste indisponible jusqu'à l'utilisateur copie le fichier enregistré jusqu'à son emplacement d'origine.

denver # cp /etc/krb5/krb5.keytab.save /etc/krb5/krb5.keytab
Copyright © 2002, 2014, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales
Précédent
Suivant