Я пытаюсь создать зашифрованный токен Kerberos AES-256 с серверов Linux (сервер не присоединен к домену). Я использую таблицу ключей, сгенерированную с помощью команды Kinit. Когда я использую RC4-HMAC TGT и TGS, оба билета генерируются правильно. Но с AES-256 после борьбы, даже если мне удастся сгенерировать тикет TGT, генерация тикета TGS все еще дает сбой.
Я проверил, AES-256 и AES-128 добавлены в мой профиль в Active Directory. Поскольку это решение было предложено .
Ниже приведены мои команды -
krb5.conf настроен на поддержку только AES-256
default_tkt_enctypes = aes256-cts-hmac-sha1-96
default_tgs_enctypes = aes256-cts-hmac-sha1-96
Создать Keytab с помощью ktutil
add_entry -password -p <my UPN>@<MY DOMAIN IN CAPS> -k 1 -e aes256-cts-hmac-sha1-96- Вывести соль по команде
list -e 1019 *
add_entry -key -p <my SAMAccountName>@<MY DOMAIN IN CAPS> -k 1 -e aes256-cts-hmac-sha1-96- Введите соль
write_kt <keytab name>
Сопоставление соли важно, так как алгоритм ktutil отличается
из Active Directory. Предлагаемое решение здесь
Создать билет TGT
kinit -kt <my keytab> <my SAMAccountName>@<MY DOMAIN IN CAPS> -c krb5cache
Создать билет TGS
env KRB5_CONFIG=krb5.conf KRB5_TRACE=/dev/stdout KRB5CCNAME=krb5cache kvno HTTP/my.website.com
Вот где возникает ошибка «KDC не поддерживает тип шифрования».
kvno: KDC has no support for encryption type while getting credentials for HTTP/my.website.com@[MY DOMAIN IN CAPS]