Kerberos ktutil, welche Arten von Verschlüsselung gibt es?
9
Ich versuche, ein Keytab mit zu erstellen ktutil. Ich kann den Verschlüsselungstyp auswählen, aber die ktutilManpage bietet keine Liste möglicher Auswahlmöglichkeiten. Ich weiß auch nicht, welche Verschlüsselungsmethode die beste ist! Wie kann ich beides herausfinden? Ich möchte die stärkste verfügbare Verschlüsselung.
Die von 84104 bereitgestellte ktutil-Lösung ist korrekt, wenn Sie versuchen, eine Keytab für einen Dienst zu erstellen. Es ist eine schreckliche Idee für ein Keytab, das Sie für einen automatisierten Prozess verwenden möchten, da es das Passwort zufällig sortiert und das Konto ohne das Keytab unbrauchbar macht.
Wenn Sie das Keytab als Kennwortspeicher verwenden, um es an kinit weiterzuleiten und einen Prozess zu automatisieren, würde ich empfehlen, dass Sie den Enctype verwenden, den Sie erhalten, wenn Sie kinit mit einem Kennwort ausführen.
klist -e
Ich werde eine Reihe von Dingen auflisten, die die gewünschte Zeile ist. Verwenden Sie den mit ktutil aufgelisteten Etype.
Seien Sie gewarnt, diese Verwendung von ktutil entspricht genau der Speicherung Ihres Passworts in einer Klartextdatei. Jeder, der die Keytab lesen kann, kann sich als Ihre Identität gegenüber dem System ausgeben. Diese Befehle sind auch die MIT-Version, heimdal ktutil und klist sind etwas unterschiedlich. (Heimdal ist die Kerberos-Version, die in neueren Versionen von OS X verwendet wird.)
Und obwohl Sie die stärkste Verschlüsselung verwenden möchten, stellen Sie sicher, dass Sie nur eine Verschlüsselung verwenden, die so stark ist, wie Ihr Kerberos-Server unterstützt und für die Akzeptanz konfiguriert ist.
Ryan Bolger
3
Verwenden ktutilSie diese Option nur, wenn Sie versuchen, ein Keytab aus einem vorhandenen Keytab zu erstellen. Verwenden Sie kadminstattdessen.
# kadmin -p user/admin
Password for user/[email protected]:
kadmin: add_principal -randkey service/server.example.com
WARNING: no policy specified for service/[email protected]; defaulting to no policy
Principal "service/[email protected]" created.
kadmin: ktadd -k /etc/service/service.keytab service/server.example.com
Entry for principal service/server.example.com with kvno 2, encryption type aes256-cts-hmac-sha1-96 added to keytab
Entry for principal service/server.example.com with kvno 2, encryption type camellia256-cts-cmac added to keytab
kadmin: quit
Abhängig von Ihren kdc's können kdc.confSie unterschiedliche Verschlüsselung erhalten: Salzarten. Die Standardliste lautet:
Ich authentifiziere mich bei einem Windows Active Directory-Server und die Verwendung von kadmin ist nicht möglich.
Dylan Klomparens
"Verwenden Sie ktutil nur, wenn Sie versuchen, aus einem vorhandenen Keytab ein Keytab zu erstellen. Verwenden Sie stattdessen kadmin." - Würden Sie klarstellen, warum? Ist es nur um sicherzustellen, dass die Prinzipnamen auch erstellt werden?
Samuel Harmer
@ Styne666 Der Schlüsselraum von -randkey ist größer als der Schlüsselraum aller typfähigen Schlüssel.
Verwenden
ktutil
Sie diese Option nur, wenn Sie versuchen, ein Keytab aus einem vorhandenen Keytab zu erstellen. Verwenden Siekadmin
stattdessen.Abhängig von Ihren kdc's können
kdc.conf
Sie unterschiedliche Verschlüsselung erhalten: Salzarten. Die Standardliste lautet:Sie können auch die in der Keytab verwendeten Enctypes einschränken (oder erweitern), indem Sie
-e
die gewünschten Typen verwenden und angeben .Wenn Sie versuchen, ein Keytab aus einem vorhandenen Keytab zu erstellen:
quelle