最近的安全更新开始导致kdc日志中出现以下警告:
krb5kdc[1127011]: Stash file /etc/krb5kdc/stash uses DEPRECATED enctype des3-cbc-sha1
鉴于新版本的 openSSL 将完全停止支持各种密码,我想在我的 kerberos 系统崩溃之前将此文件更改为非弃用类型。
如何更改存储文件的加密类型?
我该在配置中做哪些更改才能继续读取存储文件?
答案1
MIT Kerberos 本身早在 OpenSSL 之前就计划放弃对 3DES 的支持。(OpenSSL 不太可能完全放弃对 3DES 的支持;在 3.0 版中,它只是被转移到“遗留”提供商。)
存储文件本身并未加密,它包含加密钥匙这样就可以读取 Kerberos 数据库的其余部分。因此,更新它意味着使用新的主密钥重新加密所有主体密钥,然后将该密钥再次存储在存储文件中。
因此,您正在寻找 MIT Kerberos“主密钥轮换”程序,该程序记录在:
简而言之,用来kdb5_util添加和“使用”新的 mkey,然后用它重新加密现有数据,生成新的存储,最后清除旧的 mkey。
(澄清一下,主密钥是不是krbtgt 密钥,尽管如果您的域很旧,也可能需要轮换。我有一个脚本用于检查哪些主体缺少现代加密类型的密钥。)
您可能还会发现“Retiring DES”文档很有用;它是关于单 DES 的退役,但大多数程序通常适用于删除任何编码类型: