У меня есть простая установка многодоменного леса MS ADDS с родительским доменом и одним поддоменом. Я успешно присоединился к серверу RHEL 8 к поддомену, используя эта официальная документация. Все ОС были настроены с использованием как можно большего количества значений по умолчанию. Я могу успешно подключиться по SSH к серверу RHEL, используя учетную запись AD поддомена. Но когда я пытаюсь использовать учетную запись родительского домена, происходит сбой входа в систему. Как только я отправлю имя пользователя родительского домена, журналctl сообщает о следующей ошибке:
sssd_be[...]: Ошибка GSSAPI: неопределенный сбой GSS. Второстепенный код может предоставить дополнительную информацию (KDC не поддерживает тип шифрования)
Я проверил контроллеры домена каждого домена и могу подтвердить, что все контроллеры домена поддерживают одни и те же три типа шифрования по умолчанию (которые хранятся в msDS-SupportedEncryptionTypes атрибут каждой учетной записи компьютера DC):
- RC4_HMAC_MD5
- AES128_CTS_HMAC_SHA1_96
- AES256_CTS_HMAC_SHA1_96
Я также подтвердил, что RHEL 8 предлагает подходящие типы шифрования (/etc/crypto-policies/backends/krb5.config):
[libdefaults]
разрешенные_enctypes = aes256-cts-hmac-sha1-96 aes256-cts-hmac-sha384-192 камелия256-cts-cmac aes128-cts-hmac-sha1-96 aes128-cts-hmac-sha256-128 камелия128-cts-cmac
Итак, совпадений должно быть два: aes128-cts-hmac-sha1-96 и aes256-cts-hmac-sha1-96. Как я уже сказал, он отлично работает для поддомена. Итак, почему нет подходящего типа шифрования для родительского домена?
