Windows Server 2003 -Ktpass - crypto: valor enum 'rc4-hmac' não é conhecido

Navegue suas respostas
2

Estou tentando criar um keytab com o Ktpass em um Windows Server 2003 com: 

Ktpass -princ host/[email protected] -mapuser host -pass password -crypto rc4-hmac -out UNIXhost.keytab

Eu recebo o seguinte erro: 

crypto: enum value 'rc4-hmac' is not known.
Error: argument for option "crypto" must be one of the following values:
DES-CBC-CRC : for compatibility
DES-CBC-MD5 : default
Command line options:

---------------------most useful args
[- /]          out : Keytab to produce
[- /]        princ : Principal name (user@REALM)
[- /]         pass : password to use
                     use "*" to prompt for password.
---------------------less useful stuff
[- /]      mapuser : map princ (above) to this user account (default: don't)
[- /]        mapOp : how to set the mapping attribute (default: add it)
[- /]        mapOp :  is one of:
[- /]        mapOp :        add : add value (default)
[- /]        mapOp :        set : set value
[- +]      DesOnly : Set account for des-only encryption (default:do)
[- /]           in : Keytab to read/digest
---------------------options for key generation
[- /]       crypto : Cryptosystem to use
[- /]       crypto :  is one of:
[- /]       crypto : DES-CBC-CRC : for compatibility
[- /]       crypto : DES-CBC-MD5 : default
[- /]        ptype : principal type in question
[- /]        ptype :  is one of:
[- /]        ptype : KRB5_NT_PRINCIPAL : The general ptype-- recommended
[- /]        ptype : KRB5_NT_SRV_INST : user service instance
[- /]        ptype : KRB5_NT_SRV_HST : host service instance
[- /]         kvno : Override Key Version Number
                     Default: query DC for kvno.  Use /kvno 1 for Win2K compat.
[- +]       Answer : +Answer answers YES to prompts.  -Answer answers NO.
[- /]       Target : Which DC to use.  Default:detect

Eu tenho duas perguntas:

1) Isso eu estou tentando fazer logon único para usuários do Windows com o serviço imap está em um Centos 6. Embora você possa usar "-crypto rc4-hmac" também pode servir DES-CBC-CRC ou DES-CBC-MD5 ?. Acredito que os clientes do Windows tenham todos os tíquetes criptografados rc4-hmac e isso não permitirá que as coisas funcionem e eu suspeito que um dos meus problemas está por aí.

2) Há uma maneira de permitir o Windows Server 2003, você pode ter a opção rc4-hmac?.

Obrigado por qualquer ajuda.

    
por Maria José 24.07.2013 / 21:18

2 respostas

1

Não sei se entendi sua primeira pergunta, mas se você está preocupado com os clientes do Windows XP, eles certamente suportam RC4-HMAC chaves, mas não as mais novas baseadas em AES.

Para empregar chaves criptografadas RC4-HMAC no seu keytab, você precisará instalar o Service Pack 1. Como a mensagem de uso após o erro indica, ktpass no Windows Server 2003 suporta somente chaves cifradas DES. Observe que o KDC no Windows 2003 não oferece suporte à autenticação com o RC4-HMAC sem SP1, de acordo com este artigo sobre interoperabilidade do Kerberos . Alternativamente, atualize para o Windows Server 2008 ou Windows 2008 R2 para ter suporte a AES também.

O valor da opção de criptografia para o RC4-HMAC é RC4-HMAC-NT , embora eu recomendaria usar os baseados no AES se os clientes o suportarem. RedHat tem suporte embutido para chaves AES desde pelo menos RHEL 5, então eu assumo que o CentOS 6 também tem

    
por 25.07.2013 / 13:18
0

Verifique qual versão do Support Tools for Microsoft Windows 2003 está instalada. Talvez você tenha a versão antiga do SP1, mas precise do SP2.

    
por 07.04.2014 / 08:47

Tags

O uso de memória é a principal causa de rotatividade de instâncias no Google App Engine? [fechadas] É possível ter o nome real de um e-mail propagado até o outlook