我们在 OS X 10.10 Yosemite 上运行 KDC,并为其添加了用于远程访问(旧版)主机的服务主体:
$ kadmin add -r host/a.b.c.d@REALM
由于主机仅支持des-cbc-crc密钥加密,我们尝试(但没有成功)添加以下内容:
$ kadmin add_enctype -r host/a.b.c.d@REALM des-cbc-crc
kadmin: bad enctype "des-cbc-crc"
考虑到 DES 默认(相当合理地)是禁用的,我们尝试将其放置allow_weak_crypto=true在[libdefaults]部分/var/db/krb5kdc/kdc.conf并重新启动该kdc过程,但无济于事。
我们已经花了很多时间反复尝试,但没有任何成果。Apple 肯定没有编译 Kerberos,而没有任何支持 DES?我们该如何解决这个问题?
答案1
Apple 肯定没有编译不支持 DES 的 Kerberos 吧?
嗯,实际上,看起来他们在 10.10/Yosemite 中确实这么做了。在他们在 10.07/Lion 中对 Kerberos 造成混乱之后……我向你表示诚挚的哀悼。