Проблема генерации ключей

Question

У меня проблемы при создании keytabs для пользователя.
Keytabs работают только тогда, когда у меня включено шифрование rc4-hmac

[root@host ~]# klist -kte test_user.keytab_rc4
Keytab name: FILE:test_user.keytab_rc4
KVNO Timestamp           Principal
---- ------------------- ------------------------------------------------------
   0 09/01/2018 14:54:07 test_user@testdomain.dev (arcfour-hmac)
[root@host]# kinit -V -kt test_user.keytab_rc4 test_user@testdomain.dev
Using default cache: /tmp/krb5_1015
Using principal: test_user@testdomain.dev
Using keytab: test_user.keytab_rc4
Authenticated to Kerberos v5
[root@host ~]# klist 
Ticket cache: FILE:/tmp/krb5_1015
Default principal: test_user@testdomain.dev

Valid starting       Expires              Service principal
10/08/2018 09:10:40  10/08/2018 19:10:40  krbtgt/testdomain.dev@testdoman.dev
        renew until 10/15/2018 09:10:40
[root@host ~]# kdestroy

Если я пытаюсь аутентифицироваться с keytab который содержит любое другое шифрование

[root@host ~]# klist -kte test_user.keytab_aes256
Keytab name: FILE:test_user.keytab_aes256
KVNO Timestamp           Principal
---- ------------------- ------------------------------------------------------
   0 09/01/2018 14:57:07 test_user@testdomain.dev (aes256-cts-hmac-sha1-96)

Или несколько типов шифрования

[root@host ~]# klist -kte test_user.keytab_rc4_aes256
Keytab name: FILE:test_user.keytab_rc4_aes256
KVNO Timestamp           Principal
---- ------------------- ------------------------------------------------------
   0 09/01/2018 14:57:07 test_user@testdomain.dev (arcfour-hmac)
   0 09/01/2018 14:57:07 test_user@testdomain.dev (aes256-cts-hmac-sha1-96)
[root@host ~]# kinit -V -kt test_user.keytab_rc4_aes256 test_user@testdomain.dev
Using default cache: /tmp/krb5_1015
Using principal: test_user@testdomain.dev
Using keytab: test_user.keytab_rc4_aes256
kinit: Preauthentication failed while getting initial credentials

это терпит неудачу

Все keytabs созданы с тем же ktutil из CentOS:

[root@host ~]# ktutil
ktutil: add_entry -password -p test_user@testdomain.dev -k 0 -e arcfour-hmac
Password for test_user@testdomain.dev:
ktutil: wkt test_user.keytab_rc4

• Kerberos Server: Microsoft Active Directory 2012 с последними обновлениями
• Проверенные типы шифрования, которые не работают :
  • des3-cbc-sha1
  • aes128-cts-hmac-sha1-96
  • aes256-cts-hmac-sha1-96
  • dec-cbc-md5
• Клиент Kerberos: CentOS 7.4 с последними обновлениями.

Answer 1

Во-первых, все энктипы, кроме arcfour-hmac, используют имя области как часть ключевой соли. Для того, чтобы получить правильный ключ из пароля, вы должны использовать точно так же , как область использует KDC. Обычно это означает, что он должен быть в верхнем регистре (несмотря на то, что UPN являются строчными).

Кроме того, для каждой учетной записи может потребоваться включение aes128-cts… и aes256-cts… (и, возможно, глобально в контроллере домена) - см. Связанную документацию Microsoft.

Что касается DES: des-cbc… не должен использоваться: одинарный DES тривиален взломать даже на ПК. (С другой стороны, Triple-DES des3-cbc… просто не поддерживается Windows Server.)

(arcfour-hmac просто использует хеш-пароль NTLM в качестве своего "ключа"; он был переоборудован под Kerberos. Поэтому его ключевая соль не включает в себя область.)