Como se pode ativar chaves criptografadas em DES em um KDC da Apple?

6

Estamos executando um KDC no OS X 10.10 Yosemite, ao qual adicionamos uma entidade de serviço para acessar remotamente um host (legado):

$ kadmin add -r host/a.b.c.d@REALM

Como o host suporta apenas a criptografia de chave des-cbc-crc , tentamos (sem sucesso) adicionar isso:

$ kadmin add_enctype -r host/a.b.c.d@REALM des-cbc-crc
kadmin: bad enctype "des-cbc-crc"

Pensando que o DES está (bastante sensivelmente) desativado por padrão, tentamos colocar allow_weak_crypto=true na seção [libdefaults] de /var/db/krb5kdc/kdc.conf e reiniciar o processo kdc , mas sem sucesso.

Muitas horas foram gastas, mas não nasceram frutos. Certamente a Apple não compilou o Kerberos sem qualquer suporte para DES? Como resolvemos isso?

    
por eggyal 15.12.2014 / 20:07

1 resposta

4

Surely Apple haven't compiled Kerberos without any support for DES?

Bem, na verdade, parece que eles fizeram em 10.10 / Yosemite. E depois da bagunça que fizeram de Kerberos em 10.07 / Lion ... vocês têm minhas sinceras condolências.

A funcionalidade que o krb5-weak.conf tenta alcançar não será necessária em OS X do Yosemite (10.10) em diante, já que o Kerberos do Yosemite remove o suporte para tipos de criptografia 1-DES e, portanto, allow_weak_crypto não tem qualquer efeito. (Sabemos disso porque testamos as versões beta e conversamos com a Apple; essa é uma das razões pelas quais estamos no processo de rxkad'ing nosso AFS.)

E aqui está outra fonte , que contém um handy link na atualização de regiões antigas para algoritmos de criptografia modernos .

    
por 15.12.2014 / 20:17