我的Java应用程序使用kerberos对Windows Active Directory KDC进行身份验证,并在krb5配置文件中使用RC4-HMAC进行default_tgs_enctypes,permitted_enctypes,k_function = @(x01,x02) hyp(1)^2*exp(-0.5*(x01-x02).^2/hyp(2)^2);
K = bsxfun(k_function, x1,x2) + hyp(3)*eye(length(x2),length(x1));
。
通过用aes128-cts-hmac-sha1-96替换RC4-HMAC,应用程序提供以下KrbException,状态码为14。
消息:KDC不支持加密类型 javax.security.auth.login.FailedLoginException:登录错误:
我的问题是Kerberos是否容易受到RC4 Bar Mitzvah的影响? 如果是,请使用上述例外解决此问题。
答案 0 :(得分:0)
通常情况下,没有人受到Bar Mitzvah的攻击,至少没有人在我的攻击,但是你使用AES需要JDK的无限制策略文件。这是由于加密出口限制。请参阅:How to avoid installing "Unlimited Strength" JCE policy files when deploying an application?
另请确保您的KDC,例如Active Directory至少是Windows Server 2008. 2003不支持AES。
答案 1 :(得分:0)
我已经报告了我对KrbException 14和default_tkt_enctypes在KDC has no support for encryption type (14)没有rc4-hmac的问题的看法