Question

我正在将kerberos集成到我们的项目中，首先我部署了一个KDC服务器，然后我想测试它是否有效，所以我使用了kerberos telnet来测试，但是我收到了以下错误信息：

Escape character is '^]'.
>>>TELNET: I support auth type 2 6
>>>TELNET: I support auth type 2 2
>>>TELNET: I support auth type 2 0
>>>TELNET: I support auth type 1 2
>>>TELNET: I support auth type 1 0
>>>TELNET: I will support DES_CFB64
>>>TELNET: I will support DES_OFB64
Waiting for encryption to be negotiated...
>>>TELNET: auth_send got: 02 06 02 02 02 00
>>>TELNET: He supports 2
>>>TELNET: Trying 2 6
telnet: calling krb5_sname_to_principal
telnet: done calling krb5_sname_to_principal
telnet: Kerberos V5: failure on credentials(KDC has no support for encryption type)
>>>TELNET: He supports 2
>>>TELNET: Trying 2 2
telnet: calling krb5_sname_to_principal
telnet: done calling krb5_sname_to_principal
telnet: Kerberos V5: failure on credentials(KDC has no support for encryption type)
>>>TELNET: He supports 2
>>>TELNET: Trying 2 0
telnet: calling krb5_sname_to_principal
telnet: done calling krb5_sname_to_principal
telnet: Kerberos V5: failure on credentials(KDC has no support for encryption type)
>>>TELNET: Sent failure message
>>>TELNET: Request input to be encrypted
>>>TELNET: He is supporting DES_CFB64 (1)
>>>TELNET: He is supporting DES_OFB64 (2)
>>>TELNET: (*ep->start)() returned 7

Negotiation of authentication, which is required for encryption,
has failed.  Good-bye.

似乎我的KDC不支持某些加密算法，所以我想问一下，我可以在linux和unix中安装一个通用的加密库吗？如果有，请告诉我，我想安装它并使我的KDC工作，谢谢。

Answer 1

Kerberized telnet（在许多其他问题中）只支持DES。在所有现代Kerberos实现中都禁用了DES，因为它太弱了。如果您真的想使用Kerberized telnet，则可能必须使用以下命令启用DES：

allow_weak_crypto     = true

在[libdefaults]的{{1}}中

。您还需要在KDC上启用它，并确保服务器密钥表具有DES密钥。

但是，真的，不要。只需使用ssh。当前版本的OpenSSH支持Kerberos身份验证，支持现代enctype，并且没有Kerberized telnet的任何问题。

（您没有遗漏任何库。您获取的错误消息是在禁用DES时尝试使用DES的Kerberos应用程序的标准消息。）

请求帮助在linux中安装加密库以编写kerberos

1 个答案: