Проблема генерации ключей

420
UNIm95

У меня проблемы при создании keytabsдля пользователя.
Keytabsработают только когда у меня rc4-hmacвключено шифрование 

[root@host ~]# klist -kte test_user.keytab_rc4 Keytab name: FILE:test_user.keytab_rc4 KVNO Timestamp Principal ---- ------------------- ------------------------------------------------------ 0 09/01/2018 14:54:07 test_user@testdomain.dev (arcfour-hmac) [root@host]# kinit -V -kt test_user.keytab_rc4 test_user@testdomain.dev Using default cache: /tmp/krb5_1015 Using principal: test_user@testdomain.dev Using keytab: test_user.keytab_rc4 Authenticated to Kerberos v5 [root@host ~]# klist  Ticket cache: FILE:/tmp/krb5_1015 Default principal: test_user@testdomain.dev  Valid starting Expires Service principal 10/08/2018 09:10:40 10/08/2018 19:10:40 krbtgt/testdomain.dev@testdoman.dev renew until 10/15/2018 09:10:40 [root@host ~]# kdestroy

Если я пытаюсь аутентифицироваться с keytabэтим, содержит любое другое шифрование

[root@host ~]# klist -kte test_user.keytab_aes256 Keytab name: FILE:test_user.keytab_aes256 KVNO Timestamp Principal ---- ------------------- ------------------------------------------------------ 0 09/01/2018 14:57:07 test_user@testdomain.dev (aes256-cts-hmac-sha1-96)

Или несколько типов шифрования

[root@host ~]# klist -kte test_user.keytab_rc4_aes256 Keytab name: FILE:test_user.keytab_rc4_aes256 KVNO Timestamp Principal ---- ------------------- ------------------------------------------------------ 0 09/01/2018 14:57:07 test_user@testdomain.dev (arcfour-hmac) 0 09/01/2018 14:57:07 test_user@testdomain.dev (aes256-cts-hmac-sha1-96) [root@host ~]# kinit -V -kt test_user.keytab_rc4_aes256 test_user@testdomain.dev Using default cache: /tmp/krb5_1015 Using principal: test_user@testdomain.dev Using keytab: test_user.keytab_rc4_aes256 kinit: Preauthentication failed while getting initial credentials

это терпит неудачу

Все, keytabsгде созданы с тем же ktutilиз CentOS:

[root@host ~]# ktutil ktutil: add_entry -password -p test_user@testdomain.dev -k 0 -e arcfour-hmac Password for test_user@testdomain.dev: ktutil: wkt test_user.keytab_rc4
  • Kerberos Server: Microsoft Active Directory 2012 с последними обновлениями
  • Проверенные типы шифрования, которые не работают :
    • des3-cbc-sha1
    • aes128-cts-hmac-sha1-96
    • aes256-cts-hmac-sha1-96
    • dec-cbc-md5
  • Клиент Kerberos: CentOS 7.4 с последними обновлениями.
0

1 ответ на вопрос

0
grawity

Во-первых, все энктипы, кроме arcfour-hmac, используют имя области как часть ключевой соли. Для того, чтобы получить правильный ключ из пароля, вы должны использовать точно такую же, как область использует KDC. Обычно это означает, что он должен быть в верхнем регистре (несмотря на то, что UPN являются строчными).

Кроме того, aes128-cts…и aes256-cts…enctypes может потребоваться включен в счет (и, возможно, во всем мире в контроллере домена, а) - см связанной документации Microsoft.

Что касается DES: des-cbc… не следует использовать: Single-DES тривиально взломать даже на ПК. (С другой стороны, Triple-DES des3-cbc…просто не поддерживается Windows Server.)

(arcfour-hmac просто использует хеш-пароль NTLM в качестве своего «ключа»; он был переоборудован под Kerberos. Поэтому его keysalt не включает область.)

Похожие вопросы