Мы выполняем KDC на OS X 10.10 Йосемити, которого мы добавили сервисный принципал для того, чтобы удаленно получить доступ к хосту (прежней версии):
$ kadmin add -r host/a.b.c.d@REALM
Так как хост только поддерживает des-cbc-crc
ключевое шифрование, мы затем пытались (неудачно) добавить что:
$ kadmin add_enctype -r host/a.b.c.d@REALM des-cbc-crc
kadmin: bad enctype "des-cbc-crc"
Думая, что DES (вполне разумно) отключен по умолчанию, мы пытались поместить allow_weak_crypto=true
в [libdefaults]
раздел /var/db/krb5kdc/kdc.conf
и перезапуск kdc
процесс, но напрасно.
Много часов были проведены, мечась, но не принесли плодов. Конечно, Apple не скомпилировала Kerberos ни без какой поддержки DES? Как мы решаем это?
Неужели Apple не скомпилировала Kerberos без какой-либо поддержки DES?
Ну, вообще-то, похоже, что они это сделали в 10.10 / Yosemite. И после того беспорядка, который они сделали с Kerberos в 10.07 / Lion ... примите мои искренние соболезнования.
А вот еще один источник , который содержит удобная ссылка на обновление старых областей до современных криптоалгоритмов .