호스트에서 일시적으로 Kerberos 서비스에 대한 인증을 사용 안함으로 설정하는 방법

ktutil 명령을 사용하면 kadmin 권한이 없는 사용자가 서비스를 사용 안함으로 설정할 수 있습니다. 사용자가 서비스를 복원할 수도 있습니다. 자세한 내용은 ktutil(1) 매뉴얼 페이지를 참조하십시오.

시작하기 전에

root 역할을 맡아야 합니다. 자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 관리 권한 사용을 참조하십시오.

1. 현재 keytab 파일을 임시 파일에 저장합니다.

   Step 9에서 이 임시 파일을 사용하여 인증을 다시 사용으로 설정합니다.

2. keytab 파일이 있는 호스트에서 ktutil 명령을 시작합니다.

   ---

   주 -  다른 사용자 소유의 keytab 파일을 만들 수는 있지만, keytab 파일의 기본 위치를 사용하려면 root 소유권이 필요합니다.

   ---

   # /usr/bin/ktutil

3. keytab 파일을 키 목록 버퍼로 읽어 들입니다.

   ktutil: read_kt keytab

4. 키 목록 버퍼를 표시합니다.

   ktutil: list

   현재 키 목록 버퍼가 표시됩니다. 사용 안함으로 설정하려는 서비스에 대한 슬롯 번호를 메모해 둡니다.

5. 특정 서비스 주체를 키 목록 버퍼에서 제거하여 호스트 서비스를 일시적으로 사용 안함으로 설정합니다.

   ktutil: delete_entry slot-number

   여기서 slot-number는 list 출력에서 삭제될 서비스 주체의 슬롯 번호를 지정합니다.

6. 키 목록 버퍼를 새 keytab 파일에 씁니다.

   ktutil: write_kt new-keytab

7. ktutil 명령을 종료합니다.

   ktutil: quit

8. 새 keytab 파일을 사용하여 주체의 인증을 사용 안함으로 설정합니다.

   # mv new-keytab keytab

9. (옵션) 서비스를 다시 사용으로 설정하려는 경우 임시 keytab 파일을 다시 원본 위치로 복사합니다.

   # cp original-keytab keytab

예 5-18  Kerberos 호스트를 일시적으로 사용 안함으로 설정

이 예에서는 denver 호스트의 host 서비스가 일시적으로 사용 안함으로 설정됩니다. denver의 호스트 서비스를 다시 사용으로 설정하기 위해 관리자는 저장된 keytab 파일을 원본 위치로 복사합니다.

denver # cp /etc/krb5/krb5.keytab /etc/krb5/krb5.keytab.save
denver # /usr/bin/ktutil
ktutil:read_kt /etc/krb5/krb5.keytab
ktutil:list
slot KVNO Principal
---- ---- ---------------------------------------
1    8 root/denver@EXAMPLE.COM
2    5 host/denver@EXAMPLE.COM
ktutil:delete_entry 2
ktutil:list
slot KVNO Principal
---- ---- --------------------------------------
1    8 root/denver@EXAMPLE.COM
ktutil:write_kt /etc/krb5/nodenverhost.krb5.keytab
ktutil: quit
denver # cp /etc/krb5/nodenverhost.krb5.keytab /etc/krb5/krb5.keytab

사용자가 저장된 파일을 다시 원본 위치로 복사할 때까지 호스트를 사용할 수 없습니다.

denver # cp /etc/krb5/krb5.keytab.save /etc/krb5/krb5.keytab