Kerberos ktutil,有哪些类型的加密可用?

tag-icon tag-icon linux kerberos
Kerberos ktutil,有哪些类型的加密可用?

我正在尝试使用 制作密钥表ktutil。我可以选择加密类型,但ktutil手册页没有提供可能的选择列表。我也不知道哪种加密方法最好!我如何才能找到这两种方法?我想要最强大的加密。

$ ktutil
> add_entry -password -p [email protected] -k 1 -e [what goes here?!]

答案1

如果您尝试为服务创建密钥表,则 84104 提供的 ktutil 解决方案是正确的。对于要用于某些自动化流程的密钥表,这是一个糟糕的想法,因为它会随机化密码,并使帐户在没有密钥表的情况下无法使用。

如果您使用 keytab 作为密码存储来提供给 kinit 来自动化某个过程,我建议您使用在使用密码运行 kinit 时获得的任何 enctype。

klist -e

会列出一堆内容,您想要的行就是这一行。使用 ktutil 列出的 etype。

    Etype (skey, tkt): aes256-cts-hmac-sha1-96, aes256-cts-hmac-sha1-96

请注意,ktutil 的这种用法与将密码存储在明文文件中完全相同,任何能够读取 keytab 的人都可以向系统冒充您的身份。此外,这些命令是 MIT 版本,heimdal ktutil 和 klist 略有不同。(Heimdal 是最新版本的 OS X 上使用的 kerberos 版本)

答案2

ktutil除非您尝试从现有密钥表创建密钥表,否则请勿使用kadmin。请改用。

# kadmin -p user/admin
Password for user/[email protected]:
kadmin: add_principal -randkey service/server.example.com
WARNING: no policy specified for service/[email protected]; defaulting to no policy
Principal "service/[email protected]" created.
kadmin:  ktadd -k /etc/service/service.keytab service/server.example.com
Entry for principal service/server.example.com with kvno 2, encryption type aes256-cts-hmac-sha1-96 added to keytab
Entry for principal service/server.example.com with kvno 2, encryption type camellia256-cts-cmac added to keytab
kadmin: quit

根据您的 kdc,kdc.conf您可能会得到不同的加密:盐类型。默认列表为:

aes256-cts-hmac-sha1-96:normal
aes128-cts-hmac-sha1-96:normal
des3-cbc-sha1:normal
arc‐four-hmac-md5:normal

-e您还可以通过使用和指定所需的类型来限制(或扩展)创建 keytab 时所使用的 enctypes 。

如果您尝试从现有密钥表创建密钥表:

# kutil
ktutil: read_kt /etc/krb5.keytab
ktutil:  l -e
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
   1    6   host/[email protected] (aes256-cts-hmac-sha1-96)
   2    6   host/[email protected] (camellia256-cts-cmac)
   3    3   HTTP/[email protected] (aes256-cts-hmac-sha1-96)
   4    3   HTTP/[email protected] (camellia256-cts-cmac)
ktutil: delete_entry 1
ktutil:  l -e
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
   1    6   host/[email protected] (camellia256-cts-cmac)
   2    3   HTTP/[email protected] (aes256-cts-hmac-sha1-96)
   3    3   HTTP/[email protected] (camellia256-cts-cmac)
ktutil: delete_entry 1
ktutil:  l -e
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
   1    3   HTTP/[email protected] (aes256-cts-hmac-sha1-96)
   2    3   HTTP/[email protected] (camellia256-cts-cmac)
ktutil: write_kt /etc/httpd/http.keytab
ktutil: quit
# klist -ke /etc/httpd/http.keytab
Keytab name: FILE:/etc/httpd/http.keytab
KVNO Principal
---- ---------------------------------------------------------------------
    3   HTTP/[email protected] (aes256-cts-hmac-sha1-96)
    3   HTTP/[email protected] (camellia256-cts-cmac)

相关内容