Вопросы Теги

Kerberos ktutil, какие виды шифрования доступны?

Я пытаюсь сделать использование keytab ktutil. Я добираюсь для выбора типа шифрования, но ktutil страница справочника не предлагает список возможного выбора. Я также не знаю, какой метод шифрования является лучшим! Как я могу узнать оба из них? Я хочу самое сильное доступное шифрование.

$ ktutil
> add_entry -password -p me@DOMAIN.COM -k 1 -e [what goes here?!]
9
задан 14 August 2014 в 22:22
3 ответа

Решение ktutil, предоставленное 84104, является правильным, если вы пытаетесь сделать клейтаб для службы. Это ужасная идея для связки ключей, которую вы хотите использовать для какого-то автоматизированного процесса, так как это приведет к случайному выбору пароля и сделает учетную запись непригодной для использования без связки ключей.

Если вы используете кейтаб в качестве хранилища паролей для подачи на kinit для автоматизации процесса, я бы посоветовал вам использовать любой enctype, который вы получите, когда запустите kinit с помощью пароля. 

klist -e

перечислит кучу вещей в этой строке. Используйте etype, указанный с помощью ktutil. 

    Etype (skey, tkt): aes256-cts-hmac-sha1-96, aes256-cts-hmac-sha1-96

Предупреждаю, это использование ktutil точно так же, как и хранение пароля в текстовом файле, любой, кто может прочитать табличку с ключами, может выдать себя за вашу личность в системе. Также эти команды являются версией MIT, heimdal ktutil и klist несколько отличаются.( Heimdal - это версия kerberos, используемая в последних версиях OS X )

.
8
ответ дан 2 December 2019 в 22:30

Не используйте ktutil , если вы не пытаетесь создать keytab из существующей keytab. Вместо этого используйте kadmin . 

# kadmin -p user/admin
Password for user/admin@EXAMPLE.COM:
kadmin: add_principal -randkey service/server.example.com
WARNING: no policy specified for service/server.example.com@EXAMPLE.COM; defaulting to no policy
Principal "service/server.example.com@EXAMPLE.COM" created.
kadmin:  ktadd -k /etc/service/service.keytab service/server.example.com
Entry for principal service/server.example.com with kvno 2, encryption type aes256-cts-hmac-sha1-96 added to keytab
Entry for principal service/server.example.com with kvno 2, encryption type camellia256-cts-cmac added to keytab
kadmin: quit

В зависимости от kdc.conf вашего kdc вы можете получить другое шифрование: типы соли. Список по умолчанию: 

aes256-cts-hmac-sha1-96:normal
aes128-cts-hmac-sha1-96:normal
des3-cbc-sha1:normal
arc‐four-hmac-md5:normal

Вы также можете ограничить (или расширить) enctypes, используемые в keytab при ее создании, используя -e и указав желаемые типы.

Если вы пытаетесь создать keytab из существующей keytab: 

# kutil
ktutil: read_kt /etc/krb5.keytab
ktutil:  l -e
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
   1    6   host/server.example.com@EXAMPLE.COM (aes256-cts-hmac-sha1-96)
   2    6   host/server.example.com@EXAMPLE.COM (camellia256-cts-cmac)
   3    3   HTTP/server.example.com@EXAMPLE.COM (aes256-cts-hmac-sha1-96)
   4    3   HTTP/server.example.com@EXAMPLE.COM (camellia256-cts-cmac)
ktutil: delete_entry 1
ktutil:  l -e
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
   1    6   host/server.example.com@EXAMPLE.COM (camellia256-cts-cmac)
   2    3   HTTP/server.example.com@EXAMPLE.COM (aes256-cts-hmac-sha1-96)
   3    3   HTTP/server.example.com@EXAMPLE.COM (camellia256-cts-cmac)
ktutil: delete_entry 1
ktutil:  l -e
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
   1    3   HTTP/server.example.com@EXAMPLE.COM (aes256-cts-hmac-sha1-96)
   2    3   HTTP/server.example.com@EXAMPLE.COM (camellia256-cts-cmac)
ktutil: write_kt /etc/httpd/http.keytab
ktutil: quit
# klist -ke /etc/httpd/http.keytab
Keytab name: FILE:/etc/httpd/http.keytab
KVNO Principal
---- ---------------------------------------------------------------------
    3   HTTP/server.example.com@EXAMPLE.COM (aes256-cts-hmac-sha1-96)
    3   HTTP/server.example.com@EXAMPLE.COM (camellia256-cts-cmac)
3
ответ дан 2 December 2019 в 22:30

Мне пришлось сделать 

add_entry -password -p username@CORP.COMPANY.COM -k 1 -e arcfour-hmac
write_kt keytab

при использовании kinit, поставляемого с VAS. Обратите внимание на arcfour-hmac

Тогда 

kinit -kt keytab username@CORP.COMPANY.COM

работает как шарм.

0
ответ дан 2 December 2019 в 22:30

Теги

Похожие вопросы