我使用 Windows Server 2008 和 Windows Vista 和 7 进行跨领域身份验证,使用 MIT Kerberos 1.6,但是当我尝试以用户身份登录时,KDC 回答:
(wireshark 输出)
错误代码:KRB5KDC_ERR_ETYPE_NOSUPP (14) ... 电子文本:BAD_ENCRYPTION_TYPE
我想知道如何更改加密类型方法以与 KDC 兼容(我尝试过 XP 客户端并且运行良好)。
非常感谢!
答案1
来自 Windows 7 技术库:Kerberos 身份验证的变化
最有可能的是,您的 Kerberos 服务器需要 DES 加密,而 Windows 7 中默认禁用了该加密。它主要被 AES 取代。链接的文章包含通过组策略重新启用 DES 加密的说明。这相当简单。但您应该考虑升级您的 Kerberos 配置以支持 AES。
答案2
哪一方返回了错误的加密错误?是 Windows 7 客户端还是服务器?
另外,是否可以尝试Kerberos 1.7? 它是大约一个月前由麻省理工学院发布的,它有一些新的可配置加密设置,用于禁用弱加密。