Gestión de Kerberos y otros servicios de autenticación en Oracle® Solaris 11.2

Salir de la Vista de impresión

 
Actualización: Septiembre de 2014
 
 

Cómo desactivar temporalmente la autenticación de un servicio Kerberos en un host

El comando ktutil permite a un usuario sin privilegios kadmin desactivar un servicio. Este usuario también puede restaurar el servicio. Para obtener más información, consulte la página del comando man ktutil(1).

Antes de empezar

Debe asumir el rol root. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .

  1. Guarde el archivo keytab actual en un archivo temporal.

    Utiliza este archivo temporal para volver a activar la autenticación en Step 9.

  2. En el host con el archivo keytab, inicie el comando ktutil.
    Notas -  Si bien puede crear archivos keytab que son propiedad de otros usuarios, para usar la ubicación predeterminada para el archivo keytab se requiere la propiedad de root. 
    # /usr/bin/ktutil
  3. Lea el archivo keytab en la memoria intermedia de la lista de claves. 
    ktutil: read_kt keytab
  4. Visualice la memoria intermedia de lista de claves. 
    ktutil: list

    Aparece la memoria intermedia de lista de claves actual. Anote el número de ranura para el servicio que desea desactivar.

  5. Para desactivar temporalmente un servicio de host, suprima el principal de servicio específico de la memoria intermedia de lista de claves. 
    ktutil: delete_entry slot-number

    Donde slot-number especifica el número de ranura del principal de servicio que se va a suprimir en la salida list.

  6. Escriba la memoria intermedia de lista de claves a un nuevo archivo keytab. 
    ktutil: write_kt new-keytab
  7. Salga del comando ktutil. 
    ktutil: quit
  8. Utilice el nuevo archivo keytab para desactivar la autenticación del principal. 
    # mv new-keytab keytab
  9. (Opcional) Para volver a activar el servicio, copie el archivo keytab temporal nuevamente en su ubicación original. 
    # cp original-keytab keytab
Ejemplo 5-18  Desactivación temporal de un host de Kerberos

En este ejemplo, el servicio de host en el host denver está desactivado temporalmente. Para volver a activar el servicio de host en denver, el administrador copia el archivo keytab guardado en su ubicación original.

denver # cp /etc/krb5/krb5.keytab /etc/krb5/krb5.keytab.save
denver # /usr/bin/ktutil
ktutil:read_kt /etc/krb5/krb5.keytab
ktutil:list
slot KVNO Principal
---- ---- ---------------------------------------
1    8 root/denver@EXAMPLE.COM
2    5 host/denver@EXAMPLE.COM
ktutil:delete_entry 2
ktutil:list
slot KVNO Principal
---- ---- --------------------------------------
1    8 root/denver@EXAMPLE.COM
ktutil:write_kt /etc/krb5/nodenverhost.krb5.keytab
ktutil: quit
denver # cp /etc/krb5/nodenverhost.krb5.keytab /etc/krb5/krb5.keytab

El host no está disponible hasta que el usuario copia el archivo guardado a su ubicación original.

denver # cp /etc/krb5/krb5.keytab.save /etc/krb5/krb5.keytab
Copyright © 2002, 2014, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior
Siguiente