什么可以导致Windows上的Kerberos TGT会话密钥全为零

时间:2012-01-17 15:53:16

标签: kerberos lsa

我最近问过一个问题,我正在让MIT Kerberos与微软的LSA凭证缓存很好地协同工作。

我被告知设置注册表项AllowTGTSessionKey应该可以解决问题。

然而,我仍然遇到问题,现在我挖得更深了。

运行klist tgt(使用Microsoft在\windows\system32中提供的klist),在所有其他输出中显示:

Session Key        : KeyType 0x17 - RSADSI RC4-HMAC(NT)
                   : KeyLength 16 - 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

因此,会话密钥仍然消隐,即使这是上面提到的注册表项应该解决的问题。

那么哪些其他条件可能会导致会话密钥被消隐?

我现在尝试过各种各样的用户帐户(域管理员,域用户,启用和不启用UAC),似乎没有任何区别。

那么,有谁知道问题可能是什么?或者知道解决方案(和/或丑陋的hacky解决方法)

1 个答案:

答案 0 :(得分:1)

好吧,看起来我有(相当令人尴尬的)愚蠢的答案。

有问题的注册表项(AllowTGTSessionKey)仅在启动时由Windows读取。

所以在设置之后......你必须重新启动!

然后你会得到一个有效的会话密钥。