ktutil 命令允许不具有 kadmin 特权的用户禁用某个服务。此用户还可以恢复该服务。有关更多信息,请参见 ktutil(1) 手册页。
开始之前
您必须承担 root 角色。有关更多信息,请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的使用所指定的管理权限。
在Step 9 中使用此临时文件重新启用验证。
# /usr/bin/ktutil
ktutil: read_kt keytab
ktutil: list
此时会显示当前的密钥列表缓冲区。请记下要禁用的服务的槽号。
ktutil: delete_entry slot-number
其中 slot-number 指定要从 list 输出中删除的服务主体的槽号。
ktutil: write_kt new-keytab
ktutil: quit
# mv new-keytab keytab
# cp original-keytab keytab
在本示例中,临时禁用了 denver 主机上的 host 服务。要在 denver 上重新启用 host 服务,管理员可将已保存的密钥表文件复制回其原始位置。
denver # cp /etc/krb5/krb5.keytab /etc/krb5/krb5.keytab.save denver # /usr/bin/ktutil ktutil:read_kt /etc/krb5/krb5.keytab ktutil:list slot KVNO Principal ---- ---- --------------------------------------- 1 8 root/denver@EXAMPLE.COM 2 5 host/denver@EXAMPLE.COM ktutil:delete_entry 2 ktutil:list slot KVNO Principal ---- ---- -------------------------------------- 1 8 root/denver@EXAMPLE.COM ktutil:write_kt /etc/krb5/nodenverhost.krb5.keytab ktutil: quit denver # cp /etc/krb5/nodenverhost.krb5.keytab /etc/krb5/krb5.keytab
用户将已保存的文件复制回其原始位置之前,host 服务将不可用。
denver # cp /etc/krb5/krb5.keytab.save /etc/krb5/krb5.keytab