Рейтинг:0

Ошибка GSSAPI: KDC не поддерживает тип шифрования на RHEL 8, присоединенном к многодоменному лесу AD

флаг th

У меня есть простая установка многодоменного леса MS ADDS с родительским доменом и одним поддоменом. Я успешно присоединился к серверу RHEL 8 к поддомену, используя эта официальная документация. Все ОС были настроены с использованием как можно большего количества значений по умолчанию. Я могу успешно подключиться по SSH к серверу RHEL, используя учетную запись AD поддомена. Но когда я пытаюсь использовать учетную запись родительского домена, происходит сбой входа в систему. Как только я отправлю имя пользователя родительского домена, журналctl сообщает о следующей ошибке:

sssd_be[...]: Ошибка GSSAPI: неопределенный сбой GSS. Второстепенный код может предоставить дополнительную информацию (KDC не поддерживает тип шифрования)

Я проверил контроллеры домена каждого домена и могу подтвердить, что все контроллеры домена поддерживают одни и те же три типа шифрования по умолчанию (которые хранятся в msDS-SupportedEncryptionTypes атрибут каждой учетной записи компьютера DC):

  • RC4_HMAC_MD5
  • AES128_CTS_HMAC_SHA1_96
  • AES256_CTS_HMAC_SHA1_96

Я также подтвердил, что RHEL 8 предлагает подходящие типы шифрования (/etc/crypto-policies/backends/krb5.config):

[libdefaults]
разрешенные_enctypes = aes256-cts-hmac-sha1-96 aes256-cts-hmac-sha384-192 камелия256-cts-cmac aes128-cts-hmac-sha1-96 aes128-cts-hmac-sha256-128 камелия128-cts-cmac

Итак, совпадений должно быть два: aes128-cts-hmac-sha1-96 и aes256-cts-hmac-sha1-96. Как я уже сказал, он отлично работает для поддомена. Итак, почему нет подходящего типа шифрования для родительского домена?

Рейтинг:1
флаг th

Свойства доверия AD включают свойство под названием «Другой домен поддерживает шифрование Kerberos AES». По умолчанию этот параметр не отмечен.В данном случае это приводит к тому, что родительский домен не может предложить типы шифрования AES для Kerberos. Поэтому единственный вариант RC4_HMAC_MD5. В RHEL 8 шифрование RC4 устарело и отключено по умолчанию. Следовательно, действительно нет доступного типа шифрования, который можно было бы согласовать между RHEL и родительским доменом.

После проверки опции «Другой домен поддерживает шифрование Kerberos AES» аутентификация также работала для родительского домена.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.