Kerberos ktutil、どのような種類の暗号化を利用できますか？

Question

ktutilを使用してキータブを作成しようとしています。暗号化の種類を選択できるようになりましたが、ktutilのマニュアルページには、可能な選択肢のリストがありません。また、どの暗号化方式が最適かわかりません。これらの両方をどのようにして見つけることができますか？利用可能な最も強力な暗号化が必要です。

$ ktutil > add_entry -password -p me@DOMAIN.COM -k 1 -e [what goes here?!]

Fred the Magic Wonder Dog · Accepted Answer

84104が提供するktutilソリューションは、サービスのキータブを作成しようとしている場合に適切です。パスワードをランダム化し、keytabがないとアカウントを使用できなくなるため、いくつかの自動化プロセスに使用したいkeytabはひどい考えです。

キータブをパスワードストアとして使用してkinitにフィードし、プロセスを自動化している場合は、パスワードを使用してkinitを実行したときに取得するenctypeを使用することをお勧めします。

klist -e

あなたが望む行がこれであるものの束をリストアップします。 ktutilでリストされているetypeを使用します。

 Etype (skey, tkt): aes256-cts-hmac-sha1-96, aes256-cts-hmac-sha1-96

警告してください。このktutilの使用は、パスワードをクリアテキストファイルに保存することとまったく同じです。keytabを読み取ることができる誰でも、システムにあなたのIDを偽装することができます。また、これらのコマンドは、MITバージョン、heimdal ktutilおよびklistは多少異なります。（Heimdalは、OS Xの最近のバージョンで使用されているkerberosバージョンです）

84104 · Answer

既存のキータブからキータブを作成しようとしているのでない限り、ktutilを使用しないでください。代わりにkadminを使用してください。

# kadmin -p user/admin Password for user/admin@EXAMPLE.COM: kadmin: add_principal -randkey service/server.example.com WARNING: no policy specified for service/server.example.com@EXAMPLE.COM; defaulting to no policy Principal "service/server.example.com@EXAMPLE.COM" created. kadmin: ktadd -k /etc/service/service.keytab service/server.example.com Entry for principal service/server.example.com with kvno 2, encryption type aes256-cts-hmac-sha1-96 added to keytab Entry for principal service/server.example.com with kvno 2, encryption type camellia256-cts-cmac added to keytab kadmin: quit

Kdcのkdc.confに応じて、暗号化：塩の種類が異なる場合があります。デフォルトのリストは次のとおりです。

aes256-cts-hmac-sha1-96:normal aes128-cts-hmac-sha1-96:normal des3-cbc-sha1:normal arc‐four-hmac-md5:normal

-eを使用して目的のタイプを指定することにより、キータブを作成するときにキータブで使用されるenctypeを制限（または拡張）することもできます。

既存のキータブからキータブを作成しようとしている場合：

# kutil ktutil: read_kt /etc/krb5.keytab ktutil: l -e slot KVNO Principal ---- ---- --------------------------------------------------------------------- 1 6 Host/server.example.com@EXAMPLE.COM (aes256-cts-hmac-sha1-96) 2 6 Host/server.example.com@EXAMPLE.COM (camellia256-cts-cmac) 3 3 HTTP/server.example.com@EXAMPLE.COM (aes256-cts-hmac-sha1-96) 4 3 HTTP/server.example.com@EXAMPLE.COM (camellia256-cts-cmac) ktutil: delete_entry 1 ktutil: l -e slot KVNO Principal ---- ---- --------------------------------------------------------------------- 1 6 Host/server.example.com@EXAMPLE.COM (camellia256-cts-cmac) 2 3 HTTP/server.example.com@EXAMPLE.COM (aes256-cts-hmac-sha1-96) 3 3 HTTP/server.example.com@EXAMPLE.COM (camellia256-cts-cmac) ktutil: delete_entry 1 ktutil: l -e slot KVNO Principal ---- ---- --------------------------------------------------------------------- 1 3 HTTP/server.example.com@EXAMPLE.COM (aes256-cts-hmac-sha1-96) 2 3 HTTP/server.example.com@EXAMPLE.COM (camellia256-cts-cmac) ktutil: write_kt /etc/httpd/http.keytab ktutil: quit # klist -ke /etc/httpd/http.keytab Keytab name: FILE:/etc/httpd/http.keytab KVNO Principal ---- --------------------------------------------------------------------- 3 HTTP/server.example.com@EXAMPLE.COM (aes256-cts-hmac-sha1-96) 3 HTTP/server.example.com@EXAMPLE.COM (camellia256-cts-cmac)

Tagar · Answer

私がしなければなりませんでした

add_entry -password -p username@CORP.COMPANY.COM -k 1 -e arcfour-hmac write_kt keytab

vASに付属のkinitを使用する場合。注意arcfour-hmac

その後

kinit -kt keytab username@CORP.COMPANY.COM

魅力のように動作します。