%20%E4%B8%AD%E7%9A%84%E5%8D%95%E7%82%B9%E7%99%BB%E5%BD%95.png)
我遇到了一个问题,我收到来自 SEM web gui 的提示,要求我提供凭证。我提供了凭证(我们使用令牌和密码)。除非我关闭提示,否则它不会失败。LDAP 工作正常。
我有一个 CA,我用它签署了 SSL 证书。SEM 名称是 sem.domain(这是一个离线域)。sem 控制台具有正确的域和 IP 配置。
我成功创建了以下内容的密钥表:
\ktpass.exe -princ HTTP/sem.domain -pass *** -mapuser domain\sem -pType KRB5_NT_PRINCIPAL -crypto ALL -Out c:\Keytab\sem.keytab
我还尝试将其更改为 AES256,因为 DISA STIG 至少需要 AES128。但问题仍然存在。
我通过域 sysvol 共享将 keytab 传输到 SEM 服务器。
在我根据提示选择要登录的帐户之前,监视日志(CMC 控制台中的管理器菜单)显示存在 Kerberos 校验和问题。
答案1
原来是语法问题。域名必须是 DOMAIN(全大写)。因此 KTPASS 的命令应如下:
.\ktpass.exe -princ HTTP/sem.domain@DOMAIN -pass *** -mapuser domain\sem -pType KRB5_NT_PRINCIPAL -crypto ALL -Out c:\Keytab\sem.keytab
注意:主要区别是“HTTP/sem.domain@DOMAIN”
以下是 Microsoft Docs 网站上 KTPASS 信息文档的摘录:
“/princ 以 host/ 形式指定主体名称[电子邮件保护]。警告:此参数区分大小写。
https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/ktpass