Keytabs 生成问题

tag-icon tag-icon centos encryption redhat-enterprise-linux kerberos windows-authentication
Keytabs 生成问题

keytabs我在为用户创建时遇到了麻烦。
Keytabs仅当我启用rc4-hmac加密 时才有效

[root@host ~]# klist -kte test_user.keytab_rc4
Keytab name: FILE:test_user.keytab_rc4
KVNO Timestamp           Principal
---- ------------------- ------------------------------------------------------
   0 09/01/2018 14:54:07 [email protected] (arcfour-hmac)
[root@host]# kinit -V -kt test_user.keytab_rc4 [email protected]
Using default cache: /tmp/krb5_1015
Using principal: [email protected]
Using keytab: test_user.keytab_rc4
Authenticated to Kerberos v5
[root@host ~]# klist 
Ticket cache: FILE:/tmp/krb5_1015
Default principal: [email protected]

Valid starting       Expires              Service principal
10/08/2018 09:10:40  10/08/2018 19:10:40  krbtgt/[email protected]
        renew until 10/15/2018 09:10:40
[root@host ~]# kdestroy

如果我尝试使用keytab包含任何其他加密的身份验证

[root@host ~]# klist -kte test_user.keytab_aes256
Keytab name: FILE:test_user.keytab_aes256
KVNO Timestamp           Principal
---- ------------------- ------------------------------------------------------
   0 09/01/2018 14:57:07 [email protected] (aes256-cts-hmac-sha1-96)

或多种加密类型

[root@host ~]# klist -kte test_user.keytab_rc4_aes256
Keytab name: FILE:test_user.keytab_rc4_aes256
KVNO Timestamp           Principal
---- ------------------- ------------------------------------------------------
   0 09/01/2018 14:57:07 [email protected] (arcfour-hmac)
   0 09/01/2018 14:57:07 [email protected] (aes256-cts-hmac-sha1-96)
[root@host ~]# kinit -V -kt test_user.keytab_rc4_aes256 [email protected]
Using default cache: /tmp/krb5_1015
Using principal: [email protected]
Using keytab: test_user.keytab_rc4_aes256
kinit: Preauthentication failed while getting initial credentials

它失败

所有keytabs创建内容都与 CentOS 相同ktutil

[root@host ~]# ktutil
ktutil: add_entry -password -p [email protected] -k 0 -e arcfour-hmac
Password for [email protected]:
ktutil: wkt test_user.keytab_rc4
  • Kerberos 服务器:Microsoft Active Directory 2012 及最新更新
  • 经过测试的加密类型不工作
    • des3-cbc-sha1
    • aes128-cts-hmac-sha1-96
    • aes256-cts-hmac-sha1-96
    • dec-cbc-md5
  • Kerberos 客户端:CentOS 7.4 并附带最新更新。

答案1

首先,除了arcfour-hmac使用领域名称作为密钥盐的一部分。要从密码中导出正确的密钥,您必须使用确切地与 KDC 使用的域相同。这通常意味着它需要大写(尽管 UPN 是小写的)。

此外,aes128-cts…enctypesaes256-cts…可能需要每个帐户启用(并且可能在域控制器中全局如此) - 请参阅链接的 Microsoft 文档。

对于 DES:des-cbc… 一定不可以使用:单 DES 即使在 PC 上也很容易破解。(另一方面,des3-cbc…Windows Server 根本不支持三重 DES。)

(arcfour-hmac 仅使用 NTLM 密码哈希作为其“密钥”;它已改装为 Kerberos。因此,其密钥盐不包括领域。)

相关内容