Como remover um tipo de criptografia de um kerberos principal?

Question

Como remover um tipo de criptografia de um kerberos principal?

#1 resposta do (2 votos)

2

Gostaria de remover todas as chaves des do principal abaixo, mas não tenho ideia de como fazer isso sem que alguém insira a senha.

kadmin:  getprinc user
Principal: [email protected]
Expiration date: [never]
Last password change: Thu May 26 08:52:51 PDT 2013
Password expiration date: [none]
Maximum ticket life: 0 days 12:00:00
Maximum renewable life: 7 days 00:00:00
Last modified: Tue Jul 16 15:17:18 PDT 2013 (administrator/[email protected])
Last successful authentication: Wed Jul 24 14:40:53 PDT 2013
Last failed authentication: [never]
Failed password attempts: 0
Number of keys: 8
Key: vno 3, aes256-cts-hmac-sha1-96, no salt
Key: vno 3, arcfour-hmac, no salt
Key: vno 3, des3-cbc-sha1, no salt
Key: vno 3, des-cbc-crc, no salt
Key: vno 3, des-cbc-md5, no salt
Key: vno 3, des-cbc-md5, Version 5 - No Realm
Key: vno 3, des-cbc-md5, Version 5 - Realm Only
Key: vno 3, des-cbc-md5, AFS version 3
MKey: vno 2
Attributes: REQUIRES_PRE_AUTH
Policy: [none]

Além disso, o kdc está usando um backend OpenLDAP .

kerberos mitkerberos

por 84104 25.07.2013 / 00:48

1 resposta

Tags kerberos mitkerberos

Migrando do domínio do Samba 3 para o Active Directory Windows 2008 Configure o Ubuntu para permitir login ssh via pulic / chave privada e sudo sem senha

score 2 · Accepted Answer

Eu não acho que haja uma maneira fácil de fazer isso com o código kerberos do MIT. É trivial com o heimdal, já que o del_enctype é um dos comandos do kadmin.

Até onde sei, a única maneira de fazer isso com o MIT padrão é despejar o banco de dados do kdc, remover os tipos de chaves problemáticos e recarregar o banco de dados. Como o armazenamento de back-end é OpenLdap, se você tiver acesso ao dn raiz do servidor ldap, poderá localizar os valores de chave individuais no banco de dados do ldap e removê-los.

O esquema está listado aqui

link

Não está claro para mim que é possível descobrir o enctype deste sem descodificá-lo com a chave mestra.

attributetype ( 2.16.840.1.113719.1.301.4.39.1
            NAME 'krbPrincipalKey'
            EQUALITY octetStringMatch
            SYNTAX 1.3.6.1.4.1.1466.115.121.1.40)