키탭 생성 문제

keytabs사용자 를 만들 때 문제 가 있습니다. 암호화를 사용하도록 설정 한
Keytabs경우에만 rc4-hmac작동

[root@host ~]# klist -kte test_user.keytab_rc4
Keytab name: FILE:test_user.keytab_rc4
KVNO Timestamp           Principal
---- ------------------- ------------------------------------------------------
   0 09/01/2018 14:54:07 test_user@testdomain.dev (arcfour-hmac)
[root@host]# kinit -V -kt test_user.keytab_rc4 test_user@testdomain.dev
Using default cache: /tmp/krb5_1015
Using principal: test_user@testdomain.dev
Using keytab: test_user.keytab_rc4
Authenticated to Kerberos v5
[root@host ~]# klist 
Ticket cache: FILE:/tmp/krb5_1015
Default principal: test_user@testdomain.dev

Valid starting       Expires              Service principal
10/08/2018 09:10:40  10/08/2018 19:10:40  krbtgt/testdomain.dev@testdoman.dev
        renew until 10/15/2018 09:10:40
[root@host ~]# kdestroy

keytab다른 암호화가 포함 된 인증을 시도하는 경우

[root@host ~]# klist -kte test_user.keytab_aes256
Keytab name: FILE:test_user.keytab_aes256
KVNO Timestamp           Principal
---- ------------------- ------------------------------------------------------
   0 09/01/2018 14:57:07 test_user@testdomain.dev (aes256-cts-hmac-sha1-96)

또는 여러 암호화 유형

[root@host ~]# klist -kte test_user.keytab_rc4_aes256
Keytab name: FILE:test_user.keytab_rc4_aes256
KVNO Timestamp           Principal
---- ------------------- ------------------------------------------------------
   0 09/01/2018 14:57:07 test_user@testdomain.dev (arcfour-hmac)
   0 09/01/2018 14:57:07 test_user@testdomain.dev (aes256-cts-hmac-sha1-96)
[root@host ~]# kinit -V -kt test_user.keytab_rc4_aes256 test_user@testdomain.dev
Using default cache: /tmp/krb5_1015
Using principal: test_user@testdomain.dev
Using keytab: test_user.keytab_rc4_aes256
kinit: Preauthentication failed while getting initial credentials

실패

CentOS에서 keytabs동일하게 생성 된 모든 위치 ktutil:

[root@host ~]# ktutil
ktutil: add_entry -password -p test_user@testdomain.dev -k 0 -e arcfour-hmac
Password for test_user@testdomain.dev:
ktutil: wkt test_user.keytab_rc4

• Kerberos 서버 : 최신 업데이트가 포함 된 Microsoft Active Directory 2012
• 작동하지 않는 테스트 된 암호화 유형 :
  • des3-cbc-sha1
  • aes128-cts-hmac-sha1-96
  • aes256-cts-hmac-sha1-96
  • dec-cbc-md5
• Kerberos 클라이언트 : 최신 업데이트가 포함 된 CentOS 7.4

먼저 arcfour-hmac을 제외한 모든 enctype 은 영역 이름을 키 솔트의 일부로 사용합니다. 비밀번호에서 올바른 키를 얻으려면 KDC에서 사용하는 것과 정확히 동일한 영역을 사용해야 합니다. 이것은 보통 대문자 여야 함을 의미합니다 (UPN은 소문자 임에도 불구하고).

또한, aes128-cts…및 aes256-cts…enctypes가 될 필요가있다 계정별로 활성화 (그리고 아마도 전 세계적으로 도메인 컨트롤러에서뿐만 아니라) - 링크 된 Microsoft 설명서를 참조하십시오.

DES의 경우 : 사용 des-cbc… 하지 않아야 합니다. 단일 DES는 PC에서도 크랙하기가 쉽지 않습니다 . 반면에 Triple-DES des3-cbc…는 Windows Server에서 지원되지 않습니다.

(arcfour-hmac은 단순히 NTLM 암호 해시를 "키"로 사용하며 Kerberos에 맞게 개조되었습니다. 따라서 키 홀트에는 영역이 포함되지 않습니다.)