Recuperar o atual KVNO do Kerberos do Active Directory

Question

Recuperar o atual KVNO do Kerberos do Active Directory

#1 resposta do (5 votos)
#2 resposta do (4 votos)
#3 resposta do (4 votos)
#4 resposta do (3 votos)
#5 resposta do (2 votos)

5

Eu tenho um problema do Kerberos com um host Linux conectado a um KDC do Windows. Eu suspeito que a chave Kerberos com a versão errada é a culpada.

Uma forma de ser shure seria excluir o SPN e criá-lo novamente, mas isso é em um ambiente de produção e devo depurar em "somente leitura", se você desejar.

Como posso recuperar o atual KVNO do Kerberos de uma entidade no Active Directory?

active-directory kerberos linux

por ixe013 02.06.2014 / 20:00

5 respostas

4

No linux você pode usar o comando kvno para recuperá-lo do KDC

[root@XXXX XXX]# kvno host/XXXX

host/[email protected]: kvno = 13

por 01.07.2015 / 15:55

4

dsquery * -filter sAMAccountName=Accountname -attr msDS-KeyVersionNumber

por 12.05.2016 / 13:02

3

Com os Cmdlets AD do PowerShell, é possível consultar o kvno:

get-aduser <username> -property msDS-KeyVersionNumber

por 22.08.2017 / 13:36

2

Consulta de um servidor Linux associado ao AD:

net ads search  -P  '(&(objectCategory=computer)(cn=HOSTNAME))'  msDS-KeyVersionNumber

substitua HOSTNAME pelo seu nome de host.

por 08.11.2017 / 13:59

Tags active-directory kerberos linux

como canalizar um mysql dump para s3cmd Substituir dois caracteres usando um comando sed

score 5 · Accepted Answer

~~Eu estou incrédulo sobre se o KVNO tem algo a ver com o seu problema~~ , OK, talvez com clientes Linux, mas de qualquer forma, use o Wireshark / Network Monitor:

Osnúmeros-chavedaversãoestãodescritosnaseção3.1.5.8doMS-KILE.

Apropósito,MathiasR.JessenestácorretoemqueoWindowsnormalmenteignoraKVNOs.MaselesaindasãoimplementadosemumaformadereclamaçãodeRFC.

link

No, Windows does not pay attention to KVNO. It simply ignores it.

Mas o KVNO tem algum significado em um ambiente RODC:

link

Mais algumas informações aqui: link

In an environment with one or more RODCs authentication may fail when interacting with certain MIT based Kerberos devices in one of the following scenarios.

· The client is an MIT device which received a TGT from Windows KDC on RODC

· The client passes a TGT generated by Windows KDC on RODC to MIT Device which in turn uses the TGT to request a TGS on behalf of the calling user.

In both scenarios the TGT will have been issued by an RODC where the msDS-SecondaryKrbTgtNumber associated with the krbtgt account for that RODC will have a value greater than 32767.