Problem bei der Generierung von Keytabs

470
UNIm95

Ich habe Probleme beim Erstellen keytabsfür Benutzer.
Keytabsfunktionieren nur, wenn die rc4-hmacVerschlüsselung aktiviert ist 

[root@host ~]# klist -kte test_user.keytab_rc4 Keytab name: FILE:test_user.keytab_rc4 KVNO Timestamp Principal ---- ------------------- ------------------------------------------------------ 0 09/01/2018 14:54:07 test_user@testdomain.dev (arcfour-hmac) [root@host]# kinit -V -kt test_user.keytab_rc4 test_user@testdomain.dev Using default cache: /tmp/krb5_1015 Using principal: test_user@testdomain.dev Using keytab: test_user.keytab_rc4 Authenticated to Kerberos v5 [root@host ~]# klist  Ticket cache: FILE:/tmp/krb5_1015 Default principal: test_user@testdomain.dev  Valid starting Expires Service principal 10/08/2018 09:10:40 10/08/2018 19:10:40 krbtgt/testdomain.dev@testdoman.dev renew until 10/15/2018 09:10:40 [root@host ~]# kdestroy

Wenn ich versuche mich damit zu authentifizieren keytab, enthält das jede andere Verschlüsselung

[root@host ~]# klist -kte test_user.keytab_aes256 Keytab name: FILE:test_user.keytab_aes256 KVNO Timestamp Principal ---- ------------------- ------------------------------------------------------ 0 09/01/2018 14:57:07 test_user@testdomain.dev (aes256-cts-hmac-sha1-96)

Oder mehrere Verschlüsselungstypen

[root@host ~]# klist -kte test_user.keytab_rc4_aes256 Keytab name: FILE:test_user.keytab_rc4_aes256 KVNO Timestamp Principal ---- ------------------- ------------------------------------------------------ 0 09/01/2018 14:57:07 test_user@testdomain.dev (arcfour-hmac) 0 09/01/2018 14:57:07 test_user@testdomain.dev (aes256-cts-hmac-sha1-96) [root@host ~]# kinit -V -kt test_user.keytab_rc4_aes256 test_user@testdomain.dev Using default cache: /tmp/krb5_1015 Using principal: test_user@testdomain.dev Using keytab: test_user.keytab_rc4_aes256 kinit: Preauthentication failed while getting initial credentials

es schlägt fehl

Alle keytabswurden mit ktutilCentOS erstellt:

[root@host ~]# ktutil ktutil: add_entry -password -p test_user@testdomain.dev -k 0 -e arcfour-hmac Password for test_user@testdomain.dev: ktutil: wkt test_user.keytab_rc4
  • Kerberos Server: Microsoft Active Directory 2012 mit neuesten Updates
  • Getestete Verschlüsselungstypen, die nicht funktionieren :
    • des3-cbc-sha1
    • aes128-cts-hmac-sha1-96
    • aes256-cts-hmac-sha1-96
    • dec-cbc-md5
  • Kerberos-Client: CentOS 7.4 mit neuesten Updates.
0

1 Antwort auf die Frage

0
grawity

Erstens verwenden alle Enctypes außer arcfour-hmac den Bereichsnamen als Teil des Schlüsselsalzes. Um den richtigen Schlüssel aus dem Kennwort abzuleiten, müssen Sie genau denselben Bereich verwenden , den das KDC verwendet. Dies bedeutet normalerweise, dass es Großbuchstaben sein muss (obwohl UPNs Kleinbuchstaben sind).

Zusätzlich aes128-cts…und aes256-cts…enctypes benötigen werden pro Konto aktiviert (und möglicherweise auch global in der Domänencontroller als auch) - finden Sie in der verknüpften Microsoft - Dokumentation.

Wie für DES: des-cbc… darf nicht verwendet werden: Single-DES ist auch auf einem PC trivial zu knacken. (Auf der anderen Seite wird Triple-DES des3-cbc…von Windows Server einfach nicht unterstützt.)

(arcfour-hmac verwendet einfach den NTLM-Kennworthash als "Schlüssel"; er wurde für Kerberos nachgerüstet. Daher enthält sein Schlüssel nicht den Bereich.)

Verwandte Probleme