我正在尝试从Linux服务器创建AES-256加密的Kerberos令牌(服务器未加入域)。我正在使用通过Kinit命令生成的密钥表。当我使用RC4-HMAC TGT和TGS时,会正确生成两个票证。但是,使用AES-256,即使经过努力,即使我能够生成TGT票证,TGS票证生成仍然失败。
我已经检查了AES-256和AES-128都已添加到Active Directory中的个人资料中。由于此解决方案具有suggested。
下面是我的命令-
default_tkt_enctypes = aes256-cts-hmac-sha1-96
default_tgs_enctypes = aes256-cts-hmac-sha1-96
add_entry -password -p <my UPN>@<MY DOMAIN IN CAPS> -k 1 -e aes256-cts-hmac-sha1-96 list -e命令打印盐add_entry -key -p <my SAMAccountName>@<MY DOMAIN IN CAPS> -k 1 -e aes256-cts-hmac-sha1-96 write_kt <keytab name> 匹配盐很重要,因为ktutil算法不同 从Active Directory。建议的解决方案是here
kinit -kt <my keytab> <my SAMAccountName>@<MY DOMAIN IN CAPS> -c krb5cache
env KRB5_CONFIG=krb5.conf KRB5_TRACE=/dev/stdout KRB5CCNAME=krb5cache kvno HTTP/my.website.com
那是失败的原因,“ KDC不支持加密类型”错误。
kvno: KDC has no support for encryption type while getting credentials for HTTP/my.website.com@[MY DOMAIN IN CAPS]