Problème de génération de keytabs

0

J'ai des problèmes en créant keytabs pour l'utilisateur.
Keytabs ne travaillent que quand j'ai rc4-hmac cryptage activé 

[root@host ~]# klist -kte test_user.keytab_rc4
Keytab name: FILE:test_user.keytab_rc4
KVNO Timestamp           Principal
---- ------------------- ------------------------------------------------------
   0 09/01/2018 14:54:07 [email protected] (arcfour-hmac)
[root@host]# kinit -V -kt test_user.keytab_rc4 [email protected]
Using default cache: /tmp/krb5_1015
Using principal: [email protected]
Using keytab: test_user.keytab_rc4
Authenticated to Kerberos v5
[root@host ~]# klist 
Ticket cache: FILE:/tmp/krb5_1015
Default principal: [email protected]

Valid starting       Expires              Service principal
10/08/2018 09:10:40  10/08/2018 19:10:40  krbtgt/[email protected]
        renew until 10/15/2018 09:10:40
[root@host ~]# kdestroy

Si j'essaie de m'authentifier avec keytab qui contient tout autre cryptage 

[root@host ~]# klist -kte test_user.keytab_aes256
Keytab name: FILE:test_user.keytab_aes256
KVNO Timestamp           Principal
---- ------------------- ------------------------------------------------------
   0 09/01/2018 14:57:07 [email protected] (aes256-cts-hmac-sha1-96)

Ou plusieurs types de cryptage 

[root@host ~]# klist -kte test_user.keytab_rc4_aes256
Keytab name: FILE:test_user.keytab_rc4_aes256
KVNO Timestamp           Principal
---- ------------------- ------------------------------------------------------
   0 09/01/2018 14:57:07 [email protected] (arcfour-hmac)
   0 09/01/2018 14:57:07 [email protected] (aes256-cts-hmac-sha1-96)
[root@host ~]# kinit -V -kt test_user.keytab_rc4_aes256 [email protected]
Using default cache: /tmp/krb5_1015
Using principal: [email protected]
Using keytab: test_user.keytab_rc4_aes256
kinit: Preauthentication failed while getting initial credentials

il échoue

Tout keytabs où créé avec le même ktutil de CentOS: 

[root@host ~]# ktutil
ktutil: add_entry -password -p [email protected] -k 0 -e arcfour-hmac
Password for [email protected]:
ktutil: wkt test_user.keytab_rc4
  • Serveur Kerberos: Microsoft Active Directory 2012 avec les dernières mises à jour
  • Types de cryptage testés qui sont ne fonctionne pas :
    • des3-cbc-sha1
    • aes128-cts-hmac-sha1-96
    • aes256-cts-hmac-sha1-96
    • dec-cbc-md5
  • Client Kerberos: CentOS 7.4 avec les dernières mises à jour.
centos encryption redhat-enterprise-linux kerberos windows-authentication UNIm95
la source

Réponses:

0

Tout d’abord, tous les énctypes sauf arcfour-hmac utilisez le nom de domaine dans le sel de clé. Pour obtenir la clé correcte du mot de passe, vous devez utiliser exactement le même domaine que le KDC utilise. Cela signifie généralement qu'il doit être majuscule (bien que les UPN soient en minuscules).

Aditionellement, aes128-cts… et aes256-cts… les enctypes peuvent avoir besoin d'être activé par compte (et éventuellement globalement dans le contrôleur de domaine également) - voir la documentation Microsoft liée.

En ce qui concerne le DES: des-cbc… ne doit pas être utilisé: single-DES est trivial pour craquer même sur un PC. (D'autre part, Triple-DES des3-cbc… n’est tout simplement pas supporté par Windows Server.)

(arcfour-hmac utilise simplement le hachage de mot de passe NTLM comme "clé"; il a été adapté à Kerberos. Par conséquent, sa clé ne comprend pas le domaine.)

grawity
la source