Kerberos ktutil, que tipos de criptografia estão disponíveis?

7

Eu estou tentando fazer um keytab usando ktutil . Eu posso escolher o tipo de criptografia, mas a página ktutil man não oferece uma lista de possíveis escolhas. Eu também não sei qual método de criptografia é o melhor! Como posso descobrir os dois? Eu quero a criptografia mais strong disponível.

$ ktutil
> add_entry -password -p [email protected] -k 1 -e [what goes here?!]
    
por Dylan Klomparens 14.08.2014 / 21:22

3 respostas

5

A solução ktutil fornecida por 84104 está correta se você está tentando fazer um keytab para um serviço. É uma péssima idéia para um keytab que você queira usar para algum processo automatizado, pois ele irá randomizar a senha e tornar a conta inutilizável sem o keytab.

Se você estiver usando o keytab como um repositório de senhas para alimentar o kinit para automatizar um processo, sugiro que use o tipo de encapsulamento obtido ao executar o kinit usando uma senha.

klist -e

listará um monte de coisas que a linha que você quer é essa. Use o etype listado com ktutil.

    Etype (skey, tkt): aes256-cts-hmac-sha1-96, aes256-cts-hmac-sha1-96

Esteja avisado, este uso de ktutil é exatamente o mesmo que armazenar sua senha em um arquivo de texto claro, qualquer um que possa ler o keytab pode representar sua identidade para o sistema. Também estes comandos são a versão MIT, o heimdal ktutil e o klist são um pouco diferentes (o Heimdal é a versão do kerberos usada nas versões recentes do OS X)

    
por 15.08.2014 / 03:34
2

Não use ktutil , a menos que você esteja tentando criar um keytab a partir de um keytab existente. Use kadmin em vez disso.

# kadmin -p user/admin
Password for user/[email protected]:
kadmin: add_principal -randkey service/server.example.com
WARNING: no policy specified for service/[email protected]; defaulting to no policy
Principal "service/[email protected]" created.
kadmin:  ktadd -k /etc/service/service.keytab service/server.example.com
Entry for principal service/server.example.com with kvno 2, encryption type aes256-cts-hmac-sha1-96 added to keytab
Entry for principal service/server.example.com with kvno 2, encryption type camellia256-cts-cmac added to keytab
kadmin: quit

Dependendo do kdc.conf do seu kdc, você pode acabar com criptografia diferente: tipos de sal. A lista padrão é:

aes256-cts-hmac-sha1-96:normal
aes128-cts-hmac-sha1-96:normal
des3-cbc-sha1:normal
arc‐four-hmac-md5:normal

Você também pode limitar (ou expandir) os encapsos usados no keytab ao criá-lo usando -e e especificando os tipos desejados.

Se você estiver tentando criar um keytab a partir de um keytab existente:

# kutil
ktutil: read_kt /etc/krb5.keytab
ktutil:  l -e
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
   1    6   host/[email protected] (aes256-cts-hmac-sha1-96)
   2    6   host/[email protected] (camellia256-cts-cmac)
   3    3   HTTP/[email protected] (aes256-cts-hmac-sha1-96)
   4    3   HTTP/[email protected] (camellia256-cts-cmac)
ktutil: delete_entry 1
ktutil:  l -e
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
   1    6   host/[email protected] (camellia256-cts-cmac)
   2    3   HTTP/[email protected] (aes256-cts-hmac-sha1-96)
   3    3   HTTP/[email protected] (camellia256-cts-cmac)
ktutil: delete_entry 1
ktutil:  l -e
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
   1    3   HTTP/[email protected] (aes256-cts-hmac-sha1-96)
   2    3   HTTP/[email protected] (camellia256-cts-cmac)
ktutil: write_kt /etc/httpd/http.keytab
ktutil: quit
# klist -ke /etc/httpd/http.keytab
Keytab name: FILE:/etc/httpd/http.keytab
KVNO Principal
---- ---------------------------------------------------------------------
    3   HTTP/[email protected] (aes256-cts-hmac-sha1-96)
    3   HTTP/[email protected] (camellia256-cts-cmac)
    
por 14.08.2014 / 23:37
0

Eu tive que fazer

add_entry -password -p [email protected] -k 1 -e arcfour-hmac
write_kt keytab

ao usar o kinit que vem com o VAS. Observe arcfour-hmac

Então

kinit -kt keytab [email protected]

funciona como um encanto.

    
por 27.08.2015 / 19:43