Kerberos ktutil、どのような種類の暗号化を利用できますか?

9

を使用してキータブを作成しようとしていktutilます。暗号化の種類を選択できますが、ktutilmanページには可能な選択肢のリストがありません。また、どの暗号化方式が最適かわかりません!これらの両方をどのようにして見つけることができますか?利用できる最も強力な暗号化が必要です。

$ ktutil
> add_entry -password -p me@DOMAIN.COM -k 1 -e [what goes here?!]
linux  kerberos 
ディラン・クロンパレンス
ソース

回答:

8

84104によって提供されるktutilソリューションは、サービスのキータブを作成しようとしている場合に適切です。パスワードをランダム化し、キータブがないとアカウントを使用できなくなるため、いくつかの自動化プロセスに使用したいキータブのひどいアイデアです。

キータブをパスワードストアとして使用してkinitにフィードし、プロセスを自動化している場合は、パスワードを使用してkinitを実行したときに取得するenctypeを使用することをお勧めします。 

klist -e

あなたが望む行がこれであるものの束をリストアップします。ktutilでリストされているetypeを使用します。

    Etype (skey, tkt): aes256-cts-hmac-sha1-96, aes256-cts-hmac-sha1-96

警告してください。このktutilの使用は、パスワードをクリアテキストファイルに保存することとまったく同じです。keytabを読み取ることができる誰でも、システムにIDを偽装することができます。また、これらのコマンドはMITバージョンであり、heimdal ktutilとklistは多少異なります(HeimdalはOS Xの最近のバージョンで使用されているkerberosバージョンです)

フレッドザマジックワンダードッグ
ソース
1
そして、最も強力な暗号化を使用したいにもかかわらず、Kerberosサーバーがサポートし、受け入れるように構成されているのと同じくらい強力な暗号化のみを使用していることを確認してください。
Ryan Bolger、2015
3

ktutil既存のキータブからキータブを作成しようとしているのでない限り、使用しないでください。kadmin代わりに使用してください。

# kadmin -p user/admin
Password for user/admin@EXAMPLE.COM:
kadmin: add_principal -randkey service/server.example.com
WARNING: no policy specified for service/server.example.com@EXAMPLE.COM; defaulting to no policy
Principal "service/server.example.com@EXAMPLE.COM" created.
kadmin:  ktadd -k /etc/service/service.keytab service/server.example.com
Entry for principal service/server.example.com with kvno 2, encryption type aes256-cts-hmac-sha1-96 added to keytab
Entry for principal service/server.example.com with kvno 2, encryption type camellia256-cts-cmac added to keytab
kadmin: quit

kdcに応じて、kdc.conf異なる暗号化:塩の種類になる可能性があります。デフォルトのリストは次のとおりです。

aes256-cts-hmac-sha1-96:normal
aes128-cts-hmac-sha1-96:normal
des3-cbc-sha1:normal
arc‐four-hmac-md5:normal

-e必要なタイプを使用して指定することにより、キータブを作成するときにキータブで使用されるenctypeを制限(または拡張)することもできます。

既存のキータブからキータブを作成しようとしている場合:

# kutil
ktutil: read_kt /etc/krb5.keytab
ktutil:  l -e
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
   1    6   host/server.example.com@EXAMPLE.COM (aes256-cts-hmac-sha1-96)
   2    6   host/server.example.com@EXAMPLE.COM (camellia256-cts-cmac)
   3    3   HTTP/server.example.com@EXAMPLE.COM (aes256-cts-hmac-sha1-96)
   4    3   HTTP/server.example.com@EXAMPLE.COM (camellia256-cts-cmac)
ktutil: delete_entry 1
ktutil:  l -e
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
   1    6   host/server.example.com@EXAMPLE.COM (camellia256-cts-cmac)
   2    3   HTTP/server.example.com@EXAMPLE.COM (aes256-cts-hmac-sha1-96)
   3    3   HTTP/server.example.com@EXAMPLE.COM (camellia256-cts-cmac)
ktutil: delete_entry 1
ktutil:  l -e
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
   1    3   HTTP/server.example.com@EXAMPLE.COM (aes256-cts-hmac-sha1-96)
   2    3   HTTP/server.example.com@EXAMPLE.COM (camellia256-cts-cmac)
ktutil: write_kt /etc/httpd/http.keytab
ktutil: quit
# klist -ke /etc/httpd/http.keytab
Keytab name: FILE:/etc/httpd/http.keytab
KVNO Principal
---- ---------------------------------------------------------------------
    3   HTTP/server.example.com@EXAMPLE.COM (aes256-cts-hmac-sha1-96)
    3   HTTP/server.example.com@EXAMPLE.COM (camellia256-cts-cmac)
84104
ソース
3
Windows Active Directoryサーバーに対して認証を行っていますが、kadminを使用することはできません。
Dylan Klomparens、2014
「既存のキータブからキータブを作成するのでない限り、ktutilを使用しないでください。代わりにkadminを使用してください。」-理由を明確にしますか?原則名も作成されていることを確認するだけですか?
サミュエルハーマー2018
@ Styne666 -randkeyのキースペースは、すべての入力可能なキーのキースペースよりも大きくなっています。
84104
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.