我正在尝试在 Windows Server 2003 上使用 Ktpass 创建密钥表:
Ktpass -princ host/[email protected] -mapuser host -pass password -crypto rc4-hmac -out UNIXhost.keytab
我收到以下错误:
crypto: enum value 'rc4-hmac' is not known.
Error: argument for option "crypto" must be one of the following values:
DES-CBC-CRC : for compatibility
DES-CBC-MD5 : default
Command line options:
---------------------most useful args
[- /] out : Keytab to produce
[- /] princ : Principal name (user@REALM)
[- /] pass : password to use
use "*" to prompt for password.
---------------------less useful stuff
[- /] mapuser : map princ (above) to this user account (default: don't)
[- /] mapOp : how to set the mapping attribute (default: add it)
[- /] mapOp : is one of:
[- /] mapOp : add : add value (default)
[- /] mapOp : set : set value
[- +] DesOnly : Set account for des-only encryption (default:do)
[- /] in : Keytab to read/digest
---------------------options for key generation
[- /] crypto : Cryptosystem to use
[- /] crypto : is one of:
[- /] crypto : DES-CBC-CRC : for compatibility
[- /] crypto : DES-CBC-MD5 : default
[- /] ptype : principal type in question
[- /] ptype : is one of:
[- /] ptype : KRB5_NT_PRINCIPAL : The general ptype-- recommended
[- /] ptype : KRB5_NT_SRV_INST : user service instance
[- /] ptype : KRB5_NT_SRV_HST : host service instance
[- /] kvno : Override Key Version Number
Default: query DC for kvno. Use /kvno 1 for Win2K compat.
[- +] Answer : +Answer answers YES to prompts. -Answer answers NO.
[- /] Target : Which DC to use. Default:detect
我有两个问题:
1) 我打算在 Centos 6 上使用 imap 服务实现 Windows 用户的单点登录。虽然可以使用“-crypto rc4-hmac”,但也可以服务于 DES-CBC-CRC 或 DES-CBC-MD5?我相信 Windows 客户都使用 rc4-hmac 加密票证,这不会让事情正常运作,我怀疑我的一个问题就出在这里。
2) 有办法让 Windows Server 2003 可以使用 rc4-hmac 选项吗?
谢谢你的帮助。
答案1
我不确定我是否理解您的第一个问题,但如果您担心 Windows XP 客户端,它们肯定支持RC4-HMAC
密钥但不支持较新的基于 AES 的密钥。
为了在密钥表中使用 RC4-HMAC 加密密钥,您需要安装 Service Pack 1。正如错误后的使用消息所示,ktpass
Windows Server 2003 仅支持 DES 加密密钥。请注意,根据以下说明,Windows 2003 中的 KDC 不支持在没有 SP1 的情况下使用 RC4-HMAC 进行身份验证这篇关于 Kerberos 互操作性的文章。或者,升级到 Windows Server 2008 或 Windows 2008 R2 以获得 AES 支持。
RC4-HMAC 的加密选项值为RC4-HMAC-NT
,但如果客户端支持,我建议使用基于 AES 的加密选项。RedHat 至少从 RHEL 5 开始就内置了对 AES 密钥的支持,因此我认为 CentOS 6 也支持
答案2
检查安装了哪个版本的 Microsoft Windows 2003 支持工具。也许您有旧的 SP1 版本,但需要 SP2。