Проблема генерации keytab-файлов

у меня проблемы при создании keytabs для пользователей.

Keytabs работаем только когда у меня rc4-hmac шифрование включено

[root@host ~]# klist -kte test_user.keytab_rc4
Keytab name: FILE:test_user.keytab_rc4
KVNO Timestamp           Principal
---- ------------------- ------------------------------------------------------
   0 09/01/2018 14:54:07 test_user@testdomain.dev (arcfour-hmac)
[root@host]# kinit -V -kt test_user.keytab_rc4 test_user@testdomain.dev
Using default cache: /tmp/krb5_1015
Using principal: test_user@testdomain.dev
Using keytab: test_user.keytab_rc4
Authenticated to Kerberos v5
[root@host ~]# klist 
Ticket cache: FILE:/tmp/krb5_1015
Default principal: test_user@testdomain.dev

Valid starting       Expires              Service principal
10/08/2018 09:10:40  10/08/2018 19:10:40  krbtgt/testdomain.dev@testdoman.dev
        renew until 10/15/2018 09:10:40
[root@host ~]# kdestroy

если я пытаюсь аутентифицироваться с keytab, который содержит любое другое шифрование

[root@host ~]# klist -kte test_user.keytab_aes256
Keytab name: FILE:test_user.keytab_aes256
KVNO Timestamp           Principal
---- ------------------- ------------------------------------------------------
   0 09/01/2018 14:57:07 test_user@testdomain.dev (aes256-cts-hmac-sha1-96)

или несколько типов шифрования

[root@host ~]# klist -kte test_user.keytab_rc4_aes256
Keytab name: FILE:test_user.keytab_rc4_aes256
KVNO Timestamp           Principal
---- ------------------- ------------------------------------------------------
   0 09/01/2018 14:57:07 test_user@testdomain.dev (arcfour-hmac)
   0 09/01/2018 14:57:07 test_user@testdomain.dev (aes256-cts-hmac-sha1-96)
[root@host ~]# kinit -V -kt test_user.keytab_rc4_aes256 test_user@testdomain.dev
Using default cache: /tmp/krb5_1015
Using principal: test_user@testdomain.dev
Using keytab: test_user.keytab_rc4_aes256
kinit: Preauthentication failed while getting initial credentials

это не

All keytabs где создано С же ktutil от CentOS:

[root@host ~]# ktutil
ktutil: add_entry -password -p test_user@testdomain.dev -k 0 -e arcfour-hmac
Password for test_user@testdomain.dev:
ktutil: wkt test_user.keytab_rc4
  • Сервер Kerberos: Microsoft Active Directory 2012 с последними обновлениями
  • проверенные типы шифрования, которые не работает :
    • des3-cbc-sha1
    • aes128-cts-hmac-sha1-96
    • aes256-cts-hmac-sha1-96
    • dec-cbc-md5
  • клиент Kerberos: CentOS 7.4 с последними обновлениями.
19
задан UNIm95
14.04.2023 23:52 Количество просмотров материала 3494
Распечатать страницу

1 ответ

во-первых, все enctypes, кроме arcfour-hmac используйте имя области как часть ключевой соли. Чтобы получить правильный ключ из пароля, необходимо использовать ровно та же область, что и в KDC. Это обычно означает, что он должен быть верхний (несмотря на имена быть в нижнем регистре).

кроме того, aes128-cts… и aes256-cts… enctypes может потребоваться включена в счета (и, возможно, глобально в контроллере домена) – см. связана документации Microsoft.

а для des: des-cbc… не должен использовать: single-DES тривиально взломать даже на ПК. (С другой стороны, Triple-DES des3-cbc… просто не поддерживается Windows Server.)

(arcfour-hmac просто использует хэш пароля NTLM в качестве "ключа"; он был модифицирован в Kerberos. Поэтому его keysalt не включает область.)

0
отвечен grawity 2023-04-16 07:40

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя

Похожие вопросы про тегам:

centos
encryption
kerberos
redhat-enterprise-linux
windows-authentication
Вверх