Проблема генерации keytab-файлов

Question

Проблема генерации keytab-файлов

у меня проблемы при создании keytabs для пользователей.

Keytabs работаем только когда у меня rc4-hmac шифрование включено

[root@host ~]# klist -kte test_user.keytab_rc4
Keytab name: FILE:test_user.keytab_rc4
KVNO Timestamp           Principal
---- ------------------- ------------------------------------------------------
   0 09/01/2018 14:54:07 test_user@testdomain.dev (arcfour-hmac)
[root@host]# kinit -V -kt test_user.keytab_rc4 test_user@testdomain.dev
Using default cache: /tmp/krb5_1015
Using principal: test_user@testdomain.dev
Using keytab: test_user.keytab_rc4
Authenticated to Kerberos v5
[root@host ~]# klist 
Ticket cache: FILE:/tmp/krb5_1015
Default principal: test_user@testdomain.dev

Valid starting       Expires              Service principal
10/08/2018 09:10:40  10/08/2018 19:10:40  krbtgt/testdomain.dev@testdoman.dev
        renew until 10/15/2018 09:10:40
[root@host ~]# kdestroy

если я пытаюсь аутентифицироваться с keytab, который содержит любое другое шифрование

[root@host ~]# klist -kte test_user.keytab_aes256
Keytab name: FILE:test_user.keytab_aes256
KVNO Timestamp           Principal
---- ------------------- ------------------------------------------------------
   0 09/01/2018 14:57:07 test_user@testdomain.dev (aes256-cts-hmac-sha1-96)

или несколько типов шифрования

[root@host ~]# klist -kte test_user.keytab_rc4_aes256
Keytab name: FILE:test_user.keytab_rc4_aes256
KVNO Timestamp           Principal
---- ------------------- ------------------------------------------------------
   0 09/01/2018 14:57:07 test_user@testdomain.dev (arcfour-hmac)
   0 09/01/2018 14:57:07 test_user@testdomain.dev (aes256-cts-hmac-sha1-96)
[root@host ~]# kinit -V -kt test_user.keytab_rc4_aes256 test_user@testdomain.dev
Using default cache: /tmp/krb5_1015
Using principal: test_user@testdomain.dev
Using keytab: test_user.keytab_rc4_aes256
kinit: Preauthentication failed while getting initial credentials

это не

All keytabs где создано С же ktutil от CentOS:

[root@host ~]# ktutil
ktutil: add_entry -password -p test_user@testdomain.dev -k 0 -e arcfour-hmac
Password for test_user@testdomain.dev:
ktutil: wkt test_user.keytab_rc4

Сервер Kerberos: Microsoft Active Directory 2012 с последними обновлениями
проверенные типы шифрования, которые не работает :
- des3-cbc-sha1
- aes128-cts-hmac-sha1-96
- aes256-cts-hmac-sha1-96
- dec-cbc-md5
клиент Kerberos: CentOS 7.4 с последними обновлениями.

19

задан UNIm95

14.04.2023 23:52 Количество просмотров материала

3494

1 ответ

108	65	32	76	5	9	11	6	4	22

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя

Email

Похожие вопросы про тегам:

centos

encryption

kerberos

redhat-enterprise-linux

windows-authentication

score 0 · Answer 1

во-первых, все enctypes, кроме arcfour-hmac используйте имя области как часть ключевой соли. Чтобы получить правильный ключ из пароля, необходимо использовать ровно та же область, что и в KDC. Это обычно означает, что он должен быть верхний (несмотря на имена быть в нижнем регистре).

кроме того, aes128-cts… и aes256-cts… enctypes может потребоваться включена в счета (и, возможно, глобально в контроллере домена) – см. связана документации Microsoft.

а для des: des-cbc… не должен использовать: single-DES тривиально взломать даже на ПК. (С другой стороны, Triple-DES des3-cbc… просто не поддерживается Windows Server.)

(arcfour-hmac просто использует хэш пароля NTLM в качестве "ключа"; он был модифицирован в Kerberos. Поэтому его keysalt не включает область.)

Apple	$173,24	+0,81%
Amazon	$114,49	-1,94%
Microsoft	$325,19	+3,61%
Google	$123,44	+2,11%
Netflix	$364,74	-0,03%
Intel	$27,45	-5,34%
Facebook	$254,49	+2,11%
Tesla	$185,54	+1,44%
Tencent	$322,40	-3,01%