Problema de geração de Keytabs

Question

Problema de geração de Keytabs

#1 resposta do (0 votos)

0

Eu tenho problemas ao criar keytabs para o usuário.
Keytabs estão funcionando somente quando eu tenho rc4-hmac de criptografia ativada

[root@host ~]# klist -kte test_user.keytab_rc4
Keytab name: FILE:test_user.keytab_rc4
KVNO Timestamp           Principal
---- ------------------- ------------------------------------------------------
   0 09/01/2018 14:54:07 [email protected] (arcfour-hmac)
[root@host]# kinit -V -kt test_user.keytab_rc4 [email protected]
Using default cache: /tmp/krb5_1015
Using principal: [email protected]
Using keytab: test_user.keytab_rc4
Authenticated to Kerberos v5
[root@host ~]# klist 
Ticket cache: FILE:/tmp/krb5_1015
Default principal: [email protected]

Valid starting       Expires              Service principal
10/08/2018 09:10:40  10/08/2018 19:10:40  krbtgt/[email protected]
        renew until 10/15/2018 09:10:40
[root@host ~]# kdestroy

Se eu estou tentando autenticar com keytab que contém qualquer outra criptografia

[root@host ~]# klist -kte test_user.keytab_aes256
Keytab name: FILE:test_user.keytab_aes256
KVNO Timestamp           Principal
---- ------------------- ------------------------------------------------------
   0 09/01/2018 14:57:07 [email protected] (aes256-cts-hmac-sha1-96)

Ou vários tipos de criptografia

[root@host ~]# klist -kte test_user.keytab_rc4_aes256
Keytab name: FILE:test_user.keytab_rc4_aes256
KVNO Timestamp           Principal
---- ------------------- ------------------------------------------------------
   0 09/01/2018 14:57:07 [email protected] (arcfour-hmac)
   0 09/01/2018 14:57:07 [email protected] (aes256-cts-hmac-sha1-96)
[root@host ~]# kinit -V -kt test_user.keytab_rc4_aes256 [email protected]
Using default cache: /tmp/krb5_1015
Using principal: [email protected]
Using keytab: test_user.keytab_rc4_aes256
kinit: Preauthentication failed while getting initial credentials

falha

Todos os keytabs foram criados com o mesmo ktutil do CentOS:

[root@host ~]# ktutil
ktutil: add_entry -password -p [email protected] -k 0 -e arcfour-hmac
Password for [email protected]:
ktutil: wkt test_user.keytab_rc4

Servidor Kerberos: Microsoft Active Directory 2012 com atualizações mais recentes
Tipos de criptografia testados que não estão funcionando :
- des3-cbc-sha1
- aes128-cts-hmac-sha1-96
- aes256-cts-hmac-sha1-96
- dec-cbc-md5
Cliente Kerberos: CentOS 7.4 com as atualizações mais recentes.

encryption kerberos centos windows-authentication redhat-enterprise-linux

por UNIm95 09.10.2018 / 10:12

1 resposta

Tags encryption kerberos centos windows-authentication redhat-enterprise-linux

Impressão em rede Minolta C554 Ubuntu 18.04 O servidor SSH recusou a assinatura de chave pública apesar de aceitar chave

score 0 · Answer 1

Primeiro, todos os enctypes, exceto arcfour-hmac , usam o nome da região como parte do sal chave. Para derivar a chave correta da senha, você deve usar exatamente o mesmo domínio que o KDC usa. Isso geralmente significa que ele precisa ser maiúsculo (apesar de os UPNs estarem em minúsculas).

Além disso, aes128-cts… e aes256-cts… enctypes talvez precisem ser ativado por conta (e possivelmente globalmente também no controlador de domínio) - consulte a documentação da Microsoft vinculada.

Quanto ao DES: des-cbc… não deve ser usado: o single-DES é trivial para quebrar mesmo em um PC. (Por outro lado, o Triple-DES des3-cbc… simplesmente não é suportado pelo Windows Server.)

(arcfour-hmac simplesmente usa o hash de senha NTLM como sua "chave"; ele foi adaptado para o Kerberos. Portanto, seu keysalt não inclui o domínio.)