Problème de génération de keytabs


0

J'ai des problèmes en créant keytabs pour l'utilisateur.
Keytabs ne travaillent que quand j'ai rc4-hmac cryptage activé

[root@host ~]# klist -kte test_user.keytab_rc4
Keytab name: FILE:test_user.keytab_rc4
KVNO Timestamp           Principal
---- ------------------- ------------------------------------------------------
   0 09/01/2018 14:54:07 test_user@testdomain.dev (arcfour-hmac)
[root@host]# kinit -V -kt test_user.keytab_rc4 test_user@testdomain.dev
Using default cache: /tmp/krb5_1015
Using principal: test_user@testdomain.dev
Using keytab: test_user.keytab_rc4
Authenticated to Kerberos v5
[root@host ~]# klist 
Ticket cache: FILE:/tmp/krb5_1015
Default principal: test_user@testdomain.dev

Valid starting       Expires              Service principal
10/08/2018 09:10:40  10/08/2018 19:10:40  krbtgt/testdomain.dev@testdoman.dev
        renew until 10/15/2018 09:10:40
[root@host ~]# kdestroy

Si j'essaie de m'authentifier avec keytab qui contient tout autre cryptage

[root@host ~]# klist -kte test_user.keytab_aes256
Keytab name: FILE:test_user.keytab_aes256
KVNO Timestamp           Principal
---- ------------------- ------------------------------------------------------
   0 09/01/2018 14:57:07 test_user@testdomain.dev (aes256-cts-hmac-sha1-96)

Ou plusieurs types de cryptage

[root@host ~]# klist -kte test_user.keytab_rc4_aes256
Keytab name: FILE:test_user.keytab_rc4_aes256
KVNO Timestamp           Principal
---- ------------------- ------------------------------------------------------
   0 09/01/2018 14:57:07 test_user@testdomain.dev (arcfour-hmac)
   0 09/01/2018 14:57:07 test_user@testdomain.dev (aes256-cts-hmac-sha1-96)
[root@host ~]# kinit -V -kt test_user.keytab_rc4_aes256 test_user@testdomain.dev
Using default cache: /tmp/krb5_1015
Using principal: test_user@testdomain.dev
Using keytab: test_user.keytab_rc4_aes256
kinit: Preauthentication failed while getting initial credentials

il échoue

Tout keytabs où créé avec le même ktutil de CentOS:

[root@host ~]# ktutil
ktutil: add_entry -password -p test_user@testdomain.dev -k 0 -e arcfour-hmac
Password for test_user@testdomain.dev:
ktutil: wkt test_user.keytab_rc4
  • Serveur Kerberos: Microsoft Active Directory 2012 avec les dernières mises à jour
  • Types de cryptage testés qui sont ne fonctionne pas :
    • des3-cbc-sha1
    • aes128-cts-hmac-sha1-96
    • aes256-cts-hmac-sha1-96
    • dec-cbc-md5
  • Client Kerberos: CentOS 7.4 avec les dernières mises à jour.

Réponses:


0

Tout d’abord, tous les énctypes sauf arcfour-hmac utilisez le nom de domaine dans le sel de clé. Pour obtenir la clé correcte du mot de passe, vous devez utiliser exactement le même domaine que le KDC utilise. Cela signifie généralement qu'il doit être majuscule (bien que les UPN soient en minuscules).

Aditionellement, aes128-cts… et aes256-cts… les enctypes peuvent avoir besoin d'être activé par compte (et éventuellement globalement dans le contrôleur de domaine également) - voir la documentation Microsoft liée.

En ce qui concerne le DES: des-cbc… ne doit pas être utilisé: single-DES est trivial pour craquer même sur un PC. (D'autre part, Triple-DES des3-cbc… n’est tout simplement pas supporté par Windows Server.)

(arcfour-hmac utilise simplement le hachage de mot de passe NTLM comme "clé"; il a été adapté à Kerberos. Par conséquent, sa clé ne comprend pas le domaine.)

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.